Tamedia ouvre son programme public de chasse aux bugs (Bug Bounty) aux experts en sécurité ainsi qu’aux hackers éthiques.

En novembre et décembre 2020, les médias de Tamedia ont été la cible d’une cyberattaque de grande envergure. Ce genre d’attaques vise à perturber la disponibilité des systèmes informatiques, des réseaux et des sites web. Celle-ci a été massive, mais ses répercussions pour les lectrices et les lecteurs en Suisse sont restées relativement faibles grâce à des mesures de protection exhaustives. 

Parallèlement aux grandes attaques, des attaques plus petites ciblent régulièrement les médias de Tamedia ainsi que d’autres offres de TX Group: «Nous investissons en permanence dans des mesures de sécurité qui s’avèrent payantes, notamment en cas de cyberattaques. Nous intégrons la sécurité dès le début dans nos offres numériques, et celle-ci inclut entre autres une protection DDoS. Nous allons même jusqu’à organiser un programme public de bug bounty qui rémunère les hackers afin qu’ils décèlent nos points faibles», explique Andreas Schneider, Chief Information Security Officer de TX Group.

Les mesures de protection prises par Tamedia et TX Group concernent les appareils individuels, les applications et les réseaux, mais incluent également, depuis un certain temps déjà, un programme de bug bounty. Plus de 1 000 experts et hackers ont déjà participé à ce programme qui leur était alors réservé sur invitation: «L’ouverture du programme vise à augmenter encore nettement le nombre de participants. Notre but est de découvrir les points faibles des sites d’actualités, des applications et des systèmes de back-end de Tamedia qui permettraient à un agresseur d’accéder aux données, de surcharger les systèmes ou d’y glisser des codes malfaisants», précise Reto Matter, Chief Technology Officer de Tamedia.
 

Un tel programme rémunère toute personne qui découvre une lacune de sécurité. Tamedia et TX Group s’appuient pour cela sur leur partenariat avec la société BugCrowd, un des plus grands prestataires mondiaux de programmes de bug bounty. «Il y a déjà longtemps que nos programmes de bug bounty font partie des mesures les plus efficaces de notre stratégie en matière de sécurité des produits. L’ouverture de ce programme au grand public marque le couronnement de nos efforts pour construire la plateforme d’actualités la plus sûre de Suisse», déclare Andreas Schneider, qui ajoute: «Les constats tirés de nos programmes de bug bounty servent à former nos développeurs. Nous pouvons ainsi éliminer les points faibles avant même qu’ils ne se présentent.»

Le piratage de plateformes est normalement un délit. Un programme de bug bounty pratique un piratage éthique, où la pénétration dans les systèmes est délibérée dans le but d’y détecter les points faibles de façon ciblée. Le hacker n’est pas poursuivi en justice parce qu’il respecte certaines règles.