Zoom accélère le développement de son programme de bug bounty
avril 2022 par Patrick LEBRETON
Zoom Video Communications Inc. (NASDAQ : ZM), la plateforme spécialiste des communications unifiées, annonce avoir attribué 1,8 million de dollars à des chercheurs en sécurité en 2021 ayant contribué à identifier et à résoudre plus de 400 vulnérabilités dans le cadre de son programme de bug bounty privé.
es tests réguliers de l’Équipe de Sécurité de Zoom sur les solutions et l’infrastructure sont complétés en ayant recours à des hackers éthiques et en constituant une équipe mondiale de chercheurs en sécurité qualifiés à travers le monde via la plateforme "Private Bug Bounty" de HackerOne. En janvier 2022, Zoom a ainsi travaillé avec plus de 800 chercheurs en sécurité et ce travail collectif a donné lieu à la soumission de nombreux rapports de vulnérabilités et aux correctifs associés.
Le programme de bug bounty de Zoom a connu de nombreuses évolutions afin de soutenir les chercheurs actuels et d’en attirer de nouveaux. Zoom a mis en place un "menu de primes" basé sur le type de vulnérabilité trouvée et l’impact démontré qu’elle peut avoir sur les utilisateurs et l’infrastructure de Zoom. En janvier 2021, Zoom a augmenté le montant maximal du tableau des primes à 50 000 dollars pour un seul rapport et le montant minimal à 250 dollars. Depuis la création du programme, l’entreprise a attribué un total de 2,4 millions de dollars de primes et cadeaux. Un programme public de divulgation des vulnérabilités (VDP) a également été mis en place et permet à quiconque, et pas seulement aux chercheurs en sécurité reconnus, de soumettre des rapports de vulnérabilité à Zoom. En octobre 2021, Zoom a lancé son programme VIP Bug Bounty qui se concentre sur les versions sous licence des solutions Zoom et a ainsi élargi la portée des tests de sécurité.
out au long de l’année 2021, Zoom s’est concentrée sur la réduction des délais de réponse initiale, de triage, de remédiation et de versement des primes. Actuellement, le temps de réponse initial moyen est légèrement inférieur à quatre heures, tandis que le triage complet d’un rapport entrant prend généralement moins de 48 heures. Zoom s’est créé une communauté de hackers éthiques composée de chercheurs, d’étudiants, de professeurs d’université, de jeunes doués ou d’utilisateurs Zoom qui ont "remarqué quelque chose de suspect”.
En plus de son programme de bug bounty pour garantir la sécurité de sa plateforme, Zoom a obtenu des certifications et des normes internationalement reconnues telles que ISO/IEC 27001:2013, SOC 2 + HITRUST et est devenue le premier client de communication vidéo à obtenir la certification Critères Communs. De plus, l’entreprise travaille en étroite collaboration avec SURF, l’organisation collaborative en matière de technologies de l’information et de la communication pour l’enseignement supérieur et la recherche néerlandaise, qui a réalisé des analyses d’impact relatives à la protection des données (DPIA) et établit des recommandations sur lesquelles Zoom s’appuie pour axer sa stratégie.
Des informations complémentaires à ce sujet ainsi que sur le programme de Zoom sur l’article de blog dédié.