Protéger Zoom et nos clients : rétrospective sur les réussites de notre programme "Bug Bounty" en 2022

Chez Zoom, nous testons notre infrastructure chaque jour, mais nous ne sommes pas à l’abri de cas limités de vulnérabilité. Nous faisons alors appel à une communauté de pirates éthiques qui parvient parfois à détecter des erreurs qui ne peuvent être repérées que dans certaines circonstances.

L’objectif de notre programme est de recruter des chercheurs d’erreurs compétents et efficaces. En 2022, nous avons invité de nouveaux chercheurs à rejoindre notre programme HackerOne dans le but d’attirer des talents actifs pour renforcer la sécurité. Mais comme nous voulions aller encore plus loin, nous avons tenté d’approcher cette communauté par le biais d’événements sectoriels comme le H1-702.

Ces chercheurs travaillant dur pour nous aider, nous faisons le maximum pour récompenser comme il se doit les signalements fructueux. Au cours de l’exercice 2023, nous avons versé des primes à des centaines de chercheurs pour un total de 3,9 millions de dollars, montant qui s’élève à plus de 7 millions de dollars depuis le début du programme.

Outre la détection des vulnérabilités, les chercheurs externes ont contribué à d’autres avancées chez Zoom. Ces rapports ont permis de mettre en lumière les points à surveiller, d’identifier les causes premières de certains problèmes, de mieux coordonner les actions entre les différents services et de repérer les menaces avant qu’elles ne deviennent problématiques. Nous avons ainsi considérablement amélioré le délai de résolution des rapports de recherche d’erreur ces deux dernières années.

Au début de l’année, nous avons opéré une restructuration de notre équipe et mis au point des nouveautés pour le programme de l’exercice 2024. Nous avons évalué les chercheurs actuellement présents dans notre programme pour vérifier leur activité et leur contribution. Nous voulons commencer la nouvelle année sur les chapeaux de roue, et cela passe d’abord par une collaboration avec des chercheurs très qualifiés et efficaces.

Avec ce programme de recherche d’erreur Zoom met également en place un tout nouveau système de notation de l’impact des vulnérabilités pour que les chercheurs donnent le meilleur d’eux-mêmes. Nous continuerons d’utiliser le CVSS (Common Vulnerability Scoring System), qui est la référence du secteur, mais nous ajouterons à notre programme un système de notation complémentaire appelé VISS (Vulnerability Impact Scoring System) qui, pour chaque vulnérabilité signalée, analysera 13 aspects différents de l’impact sur l’infrastructure de Zoom, la technologie et la sécurité des données des clients. Grâce à la mise en œuvre du VISS, les équipes de recherche d’erreurs peuvent se concentrer davantage sur l’évaluation de l’impact raisonnablement démontré, plutôt que sur la possibilité théorique d’exploitation.

Le programme de recherche d’erreur de Zoom ayant pris de l’ampleur l’an dernier, nous poursuivons nos efforts sur l’évolution et l’amélioration de nos processus, des primes de recherche d’erreur et du champ d’application des tests. Nous avons hâte de voir les résultats de notre nouveau système de notation et du travail que pourront accomplir nos chercheurs en 2023.

Si vous souhaitez contribuer à rendre la solution Zoom plus sûre, envoyez le nom de votre profil HackerOne à l’adresse bugbounty@zoom.us ou parcourez la page Zoom Careers afin de découvrir les offres d’emploi pour les équipes Confiance et Sécurité. Bon piratage !

Pour en savoir plus sur la confidentialité et la sécurité de Zoom, explorez notre Trust Center.