Decathlon passe à la vitesse supérieure en matière de chasse aux failles de sécurité sur ses systèmes d’information et ses sites e-commerce. A l’occasion du salon de la cybersécurité FIC 2022 qui s’est tenu à Lille, Decathlon a organisé une session de chasse en direct aux lacunes de sa plateforme e-commerce, ce que l’on appelle un « Live Bug Bounty », ouverte aux hackers éthiques de la plateforme YesWeHack. L’opération a permis de découvrir 27 vulnérabilités dont 3 sont critiques.
Un événement organisé par les équipes de communication de Decathlon
L’événement a été organisé du 7 au 8 juin par les équipes de communication de Decathlon en partenariat avec YesWeHack. Decathlon recourt depuis déjà un an à un programme privé de Bug Bounty sur la plateforme YesWeHack et le spécialiste du sport a donc accepté d’apparaître en pleine lumière durant deux jours sur les failles qu’il pourrait avoir. Une description détaillée et des photos de ce Live Bug Bounty et de la vision des responsables techniques de Decathlon est publiée sur le blog de YesWeHack.
Les hackers ont révélé plusieurs vulnérabilités du site e-commerce construit sur PrestaShop
Les équipes de Decathlon ont accepté 27 signalements, dont 3 critiques, et les premiers correctifs étaient en cours de construction avant la fin de l’événement et sont en cours de déploiement sur la zone touchée. Il n’y a eu aucune perturbation de la production car les hackers avaient respecté les règles du programme qui interdisaient d’effectuer des tests pouvant entraîner d’éventuelles interruptions de service.
Aller plus loin dans la recherche de vulnérabilités informatiques
« C’est la première fois que nous nous lançons dans un Live Bug Bounty. Cela nous permet de rencontrer les hackers, de discuter avec eux, puis, d’aller plus loin dans la recherche de vulnérabilités » se félicite Farid Illikoud , RSSI Groupe de Decathlon. Durant les deux jours de recherche en direct de failles, les équipes de Decathlon ont fait tester la robustesse de leur solution e-commerce OneShop, basée sur la plateforme PrestaShop, utilisée par une trentaine de pays dans le monde. Afin de tester la plateforme E-Commerce de bout en bout, Decathlon Technology a inclut sa solution d’authentification « Login » et sa solution de fidélisation « Account » dans le périmètre du test.
Les équipes de Decathlon ont qualifié les failles avec un temps de réponse moyen de 1 heure et 6 minutes
« Après un peu plus d’un an dans le programme privé Bug Bounty, nous voulions atteindre un nouveau niveau en organisant un Live Bug Bounty » explique Ismaïl Bouafoud , Chef de projet Système d’Information chez Decathlon. La robustesse de la plateforme e-commerce a été testée en conditions réelles sur l’environnement de production. « Nous avions quelques appréhensions, mais l’événement a été une belle expérience et un vrai succès sur tous les fronts » dit-il.
La proximité appréciée avec les hackers
La proximité des équipes de Decathlon avec la communauté des chasseurs de vulnérabilités a été très appréciée. Elle a permis des interactions plus fluides et l’opportunité d’être confronté à de nouvelles approches de la sécurité. La compétition a été remportée par Zax suivi par Hisxo et CarlJohnson. La première soumission d’une faille de sécurité a été effectuée seulement 1 heure après le début de l’événement. Plusieurs, IDOR (Insecure Direct Object Reference) ont été découverts dans le périmètre défini.
« Le Bug Bounty est stimulant et engageant pour nous » commente Matthieu Vanoost, Responsable Sécurité de l’Information chez Decathlon. « Lorsque les chercheurs détectent une vulnérabilité, ils soumettent un rapport. Si cette vulnérabilité est critique, nous fixons un délai pour la corriger » poursuit-il. La réactivité permet de maintenir la motivation des chasseurs de vulnérabilités et des équipes de Decathlon.