in

HackerOne coupe les liens avec la société de vote mobile Voatz après un affrontement avec des chercheurs

HackerOne, une entreprise qui associe des pirates informatiques éthiques à des organisations pour corriger les failles logicielles, a expulsé le fournisseur de vote mobile Voatz de sa plate-forme, citant les interactions hostiles du fournisseur avec les chercheurs en sécurité.

C’est la première fois en huit ans d’existence que HackerOne, qui travaille avec des sociétés d’AT & T à Uber, expulse une organisation de son programme de sécurité. La décision intervient après que Voatz a attaqué les motivations des chercheurs du MIT qui ont trouvé des failles dans l’application de vote de l’entreprise.

« Après avoir évalué le modèle d’interactions de Voatz avec la communauté des chercheurs, nous avons décidé de mettre fin au programme sur la plate-forme HackerOne », a déclaré un porte-parole de HackerOne à CyberScoop. «Nous travaillons en partenariat avec des organisations qui donnent la priorité à agir de bonne foi envers la communauté des chercheurs en sécurité et à fournir un accès adéquat aux chercheurs pour les tests.»

Il s’agit du dernier revers en matière de sécurité pour Voatz, qui essaie de percer dans un marché dominé par les fabricants de machines à voter traditionnelles. Au cours des deux dernières années, une poignée de pays américains ont utilisé l’application pour smartphone Voatz lors des élections pour tenter d’améliorer la participation.

Dans une déclaration à CyberScoop, Voatz a attribué le changement de sa relation avec HackerOne à un « petit groupe de chercheurs qui, avec quelques autres membres de la communauté, pense que Voatz a dénoncé un chercheur au FBI » – quelque chose que Voatz dit ne s’est jamais produit.

« Nous sommes résolus dans notre engagement à poursuivre notre travail avec des chercheurs collaboratifs pour tester la sécurité de notre plate-forme », a déclaré Voatz. «Nous lancerons bientôt un nouveau programme de primes aux bogues publics, accessible à tout chercheur.» La société a déclaré avoir octroyé près de 6 000 $ en primes de bogues via HackerOne et d’autres avenues.

Le signe de la détérioration des relations de Voatz avec HackerOne est apparu le mois dernier lorsque Voatz mis à jour sa politique sur le site HackerOne. La société, selon la mise à jour signalée par les chercheurs en sécurité, ne pourrait pas «garantir un refuge» ou des protections juridiques pour les pirates éthiques qui accèdent aux systèmes électoraux en direct de la société.

Cette décision a alarmé certains chercheurs.

«La prime aux bogues de Voatz était plus un point de discussion sur les relations publiques qu’une tentative de véritablement s’engager avec la communauté de la sécurité», a déclaré Kevin Skoglund, technologue en chef à l’organisme à but non lucratif Citizens for Better Elections. «Ils ont finalement limité à la fois la portée et les dispositions relatives à la sphère de sécurité, entravant la capacité des chercheurs à trouver et à signaler de nombreux défauts réels de l’application.»

Voatz a insisté sur le fait qu’il n’avait déclassé aucune des protections pour les chercheurs. « Nous avons mis à jour nos protections de port sûr pour les aligner sur les normes de l’industrie, une pratique courante », indique le communiqué de la société. «Nous avons ajouté plus de contenu et de clarté pour éviter toute mauvaise communication et faux drapeau. Notre périmètre est en conformité avec nos cycles de tests internes et accueille un calendrier intense d’audits tiers pour le reste de l’année. »

Des tensions éclatent à propos du rapport du MIT

Les experts en sécurité ont depuis longtemps averti que le vote mobile est intolérablement risqué en raison de son potentiel d’être compromis à distance par des pirates. Mais vantant l’utilisation de la technologie blockchain, l’identification biométrique et un dossier papier correspondant pour la vérification, des entreprises comme Voatz ont insisté sur le fait que le vote mobile peut se faire en toute sécurité.

Dans le but de secouer le marché des fournisseurs de vote, Voatz a vigoureusement défendu sa technologie tout en critiquant parfois ceux qui la remettent en question.

Après que des chercheurs du MIT aient signalé le mois dernier des vulnérabilités dans l’application Voatz qui, selon eux, pourraient être exploitées pour «altérer, arrêter ou révéler le vote d’un utilisateur», les dirigeants de Voatz ont rejeté les conclusions comme étant erronées. Ils ont accusé les chercheurs d’avoir agi de «mauvaise foi» et de faire partie «d’un effort systématique pour démanteler tout pilote de vote en ligne». Si les chercheurs du MIT étaient passés par le programme de primes aux bogues HackerOne, aujourd’hui disparu, a déclaré Voatz, ils auraient pu tester la version mise à jour de l’application.

Mais un audit indépendant de l’application, commandé par Voatz et effectué par la société de sécurité Trail of Bits, a largement confirmé les conclusions des chercheurs du MIT et a déclaré qu’ils s’étaient engagés dans de bonnes pratiques de sécurité.

Jack Cable, un pirate à chapeau blanc et étudiant à l’Université de Stanford, a déclaré avoir signalé une vulnérabilité qu’il avait trouvée dans l’application Voatz via la plateforme HackerOne. Voatz lui a dit qu’ils ne considéraient pas cela comme un problème critique, a-t-il dit, mais qu’il a ensuite été signalé comme tel dans le rapport Trail of Bits.

Voatz a déclaré à CyberScoop qu’elle ne considérait pas la vulnérabilité comme critique, car la technologie en question – les bulletins de vote non anonymes – « n’est utilisée dans aucune élection gouvernementale active que nous menons ».

Après le rapport du MIT, la Virginie-Occidentale s’est retirée du projet de laisser les personnes handicapées voter à l’aide de l’application pour smartphone de Voatz dans la primaire présidentielle de l’État, NBC News signalé.

Alors que des chercheurs extérieurs continuent de surveiller sa sécurité, Voatz a accordé un accès accru à des testeurs indépendants à son code. La société affirme que la division de cybersécurité du Département de la sécurité intérieure examine actuellement son application.

Le nouveau coronavirus perturbant le vote primaire, certains défenseurs de la sécurité électorale exhortent les États à permettre à plus de personnes de voter par correspondance. De son côté, Voatz voit une opportunité pour promouvoir ses capacités de vote à distance.

Mais les chercheurs en sécurité comme Cable s’y opposent fermement.

«Le fait qu’il y ait une crise ne devrait pas être utilisé comme une raison pour déployer une technologie non testée et non sécurisée», a déclaré Cable à CyberScoop. « Au contraire, nous devons maintenant plus que jamais faire confiance à nos systèmes électoraux, ce qui, dans le cas de Voatz, n’est pas possible en raison de leur manque de transparence. »

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Alphabet, le parent de Google, fera un don de 800 millions de dollars pour lutter contre la pandémie en cours

Nintendo Switch pourrait obtenir une flotte de jeux Super Mario remasterisés cette année