Le succès du « Bug Bounty » DenyAll à la Nuit du Hack 2015

Le succès du « Bug Bounty » DenyAll à la Nuit du Hack 2015

Le premier « Bug Bounty » organisé par DenyAll a vu 2.000 experts tester ses pare-feux applicatifs Web.

Pendant l’évènement « Nuit du Hack 2K15 » qui s’est tenu à Paris le 20 et 21 Juin dernier, le premier « Bug Bounty » organisé par DenyAll a vu 2.000 experts tester ses pare-feux applicatifs Web. Les données collectées seront analysées en détail pour optimiser davantage la pertinence et l’efficacité des moteurs de sécurité applicative de DenyAll.

Pendant l’édition 2015 de la Nuit du Hack, DenyAll a mis en place un « Bug Bounty » à des fins d’enseignement et de recherche. La configuration test était basée sur le site DVWA (Damn Vulnerable Web Application), une application web bancaire « sacrément » vulnérable.

Les retours ont été extrêmement positifs et instructifs, autant sur le plan des échanges avec des experts en sécurité hautement qualifiés, que sur la pertinence des informations collectées.

Parmi des centaines de milliers d’attaques, utilisant des scanners de vulnérabilités dernier cri, des techniques de fuzzing avancées et des ruses manuelles, très peu de vecteurs d’attaque ont déjoué la sécurité fournit par les parefeux applicatifs Web de DenyAll. Quelques chasseurs ont été récompensés financièrement pour leurs découvertes, en accord avec la politique de confidentialité mise en place par les organisateurs de l’évènement.

Un processus d’amélioration continue

Le Bug Bounty a permis à DenyAll de collecter un nombre significatif de pistes d’attaques qui vont être rejouées et analysées en profondeur, afin d’améliorer constamment l’efficacité des WAFs de DenyAll et de les adapter aux nouveaux risques.

« Cela fut une expérience enrichissante en termes de transparence, d’humilité et de recherche

permanente d’amélioration » explique Vincent Maury, CTO de DenyAll. « L’opération a mis à jour de nouveaux vecteurs d’attaque, que nos moteurs de sécurité seront capables de bloquer dans les prochaines versions. Et ce, avant même que ces attaques ne soient rendues publiques, afin d’éviter l’utilisation à grande échelle de ces vulnérabilités ».

Cet exercice a également démontré la capacité de DenyAll à fournir un environnement de test disponible à 100% avec peu de latence, en utilisant l’infrastructure cloud d’Amazon Web Services, et les images pré-packagées de ses WAFs, disponibles sur la place de marché AWS.


PrécédentAccueilSuivantPartager