Bilan de l’année : la place du programme Bug Bounty 2023 dans la stratégie de sécurité de Zoom

La sécurité est une priorité absolue chez Zoom et un engagement continu que nous concrétisons au moyen d’une variété de programmes et d’initiatives. Le programme Bug Bounty de Zoom est l’une de ces initiatives visant à améliorer la sécurité en ligne, qui illustre parfaitement l’esprit de collaboration et la volonté d’innovation et d’amélioration continue qui caractérisent l’ensemble de la communauté Zoom. Depuis 2019, nous collaborons activement avec la communauté de chercheurs. Aujourd’hui, nous sommes ravis d’annoncer que nous avons payé plus de 10 millions de dollars de primes aux bogues pour aider à renforcer les défenses de Zoom et à protéger la confidentialité et la sécurité de nos utilisateurs. 

Le programme Bug Bounty de Zoom est conçu pour encourager la recherche et la divulgation responsable des failles de sécurité. Au cours des deux dernières années, nous avons mis en place un processus simplifié garantissant un traitement rapide de tous les rapports de sécurité. Une fois un bogue détecté et soumis par l’un de nos 800 chercheurs, notre équipe de sécurité fait analyser le rapport, reproduit le bogue et le soumet à l’équipe de développement interne appropriée pour qu’elle le corrige, opération qui ne prend que quelques heures en moyenne. 

Au cours des 3 dernières années, Zoom a réduit le coût par rapport de fonctionnement de programme, tout en améliorant l’identification des vulnérabilités qui ont un impact réel sur notre plateforme. En tout juste trois ans, nous avons réduit de 40 % le coût par rapport valide et observé une multiplication par deux des soumissions de rapports.

VISS

En janvier 2023, l’équipe Bug Bounty s’est engagée à créer, perfectionner et publier un nouveau mécanisme innovant permettant d’évaluer l’impact réel de l’exploitation d’une vulnérabilité sur un système. Ce travail collaboratif s’est soldé par la mise en œuvre en mars du système de notation de l’impact des vulnérabilités, ou VISS, disponible sous forme de code open source sur Github. 

Zoom utilise VISS depuis plus d’un an et a constaté un intérêt croissant de la part d’autres équipes de chasse aux bogues, en quête d’un système plus objectif d’évaluation de l’impact des vulnérabilités. À ce jour, la collaboration et les commentaires sur VISS sont positifs. Les chercheurs en sécurité apportent également leur contribution, ce qui renforce la collaboration et la réflexion sur VISS, ainsi que l’approche transparente de Zoom en matière de gestion des primes aux bogues.

« VISS nous permet d’orienter le travail des chercheurs en sécurité afin qu’ils mettent l’accent sur les aspects les plus importants, qui ont le plus d’impact. Nos paiements sont adaptés en conséquence », explique Michael Adams, RSSI de Zoom. « Nous voulons non seulement payer comme il se doit, mais également fournir des incitations appropriées. Il faut, pour que tous le comprennent, que le système de notation soit clair. Nous sommes à présent en mesure de fournir un certain niveau de clarté », déclare Michael Adams.

Pour en savoir plus et pour tester la mise en œuvre du calculateur VISS de Zoom, consultez le texte complet de la spécification VISS.

HackerOne

Nous avons également eu la joie d’être l’un des sponsors de l’événement HackerOne H1-4420 de cette année, qui a eu lieu le 22 juin 2023 au CodeNode de Londres. Cet événement nous a donné une occasion en or de collaborer avec plus de 90 hackers éthiques parmi les plus talentueux, venant de 41 pays, travaillant main dans la main pour améliorer la sécurité de la plateforme Zoom. Nous engager activement auprès de cette communauté nous permet non seulement de limiter les risques, mais aussi de favoriser l’innovation et d’améliorer continuellement nos services. Voici un récapitulatif de l’événement.

Primes aux bogues

2023 a été une grande année pour nous, car nous avons versé plus de 2,4 millions de dollars de primes aux bogues pour plus de 1 000 rapports valides soumis par plus de 200 chercheurs en sécurité. Au total, nous avons payé plus de 10 millions de dollars de primes aux bogues.

Alors que l’intelligence artificielle et l’apprentissage automatique sont de plus en plus étroitement intégrés aux produits Zoom, l’équipe du programme Bug Bounty de Zoom a collaboré avec nos meilleurs chercheurs pour identifier les vulnérabilités associées. L’essor de l’IA générative génère de nouveaux risques en matière de sécurité et de confidentialité, notamment la désinformation, l’empoisonnement des données et l’exfiltration de données. Grâce à la fonctionnalité Campagnes intégrée à nos programmes VIP, la plateforme HackerOne fournit toute la puissance de traitement back-end dont Zoom a besoin pour collaborer efficacement, de manière bidirectionnelle, avec les chercheurs. 

Outre notre travail sur l’IA, nous avons développé un ensemble robuste de fonctionnalités dont le lancement est prévu cette année dans le cadre de notre feuille de route 2024. Dans ce contexte, nous attendons une vague de nouveaux rapports dans le cadre de notre promotion « Spring BREAKAGE », qui a débuté le 1er avril 2024 et se poursuivra tout au long du mois d’avril. Plusieurs nouvelles fonctionnalités ont été ajoutées aux éléments à tester, et les primes ont été augmentées pour cette promotion.

Si vous souhaitez contribuer à rendre la solution Zoom plus sûre, envoyez le nom de votre profil HackerOne à l’adresse bugbounty@zoom.us ou parcourez la page Zoom Careers afin de découvrir les offres d’emploi pour les équipes Confiance et Sécurité. Bon piratage !

Pour en savoir plus sur la confidentialité et la sécurité de Zoom, visitez notre Trust Center. Vous avez trouvé un bogue ? Signalez une vulnérabilité.