Decathlon fait pirater son site e-commerce par des hackers éthiques et découvre 27 vulnérabilités

Decathlon passe à la vitesse supérieure en matière de chasse aux failles de sécurité sur ses systèmes d’information et ses sites e-commerce. A l’occasion du salon de la cybersécurité FIC 2022 qui s’est tenu à Lille, Decathlon a organisé une session de chasse en direct aux lacunes de sa plateforme e-commerce, ce que l’on appelle un « Live Bug Bounty », ouverte aux hackers éthiques de la plateforme YesWeHack. L’opération a permis de découvrir 27 vulnérabilités dont 3 sont critiques.

Un événement organisé par les équipes de communication de Decathlon

L’événement a été organisé du 7 au 8 juin par les équipes de communication de Decathlon en partenariat avec YesWeHack. Decathlon recourt depuis déjà un an à un programme privé de Bug Bounty sur la plateforme YesWeHack et le spécialiste du sport a donc accepté d’apparaître en pleine lumière durant deux jours sur les failles qu’il pourrait avoir. Une description détaillée et des photos de ce Live Bug Bounty et de la vision des responsables techniques de Decathlon est publiée sur le blog de YesWeHack.

Les hackers ont révélé plusieurs vulnérabilités du site e-commerce construit sur PrestaShop

Après 30 heures de recherche de failles, même durant la nuit, les hackers ont révélé plusieurs vulnérabilités du site e-commerce construit sur PrestaShop, dont un RCE (Remote Code Execution) et une injection SQL. Les équipes de Decathlon présentes sur place ont effectué la qualification des 64 signalements déposés par les hackers durant l’événement avec un temps de réponse moyen de 1 heure et 6 minutes.

Les équipes de Decathlon ont accepté 27 signalements, dont 3 critiques, et les premiers correctifs étaient en cours de construction avant la fin de l’événement et sont en cours de déploiement sur la zone touchée. Il  n’y a eu aucune perturbation de la production car les hackers avaient respecté les règles du programme qui interdisaient d’effectuer des tests pouvant entraîner d’éventuelles interruptions de service.


Aller plus loin dans la recherche de vulnérabilités informatiques

« C’est la première fois que nous nous lançons dans un Live Bug Bounty. Cela nous permet de rencontrer les hackers, de discuter avec eux, puis, d’aller plus loin dans la recherche de vulnérabilités » se félicite Farid Illikoud , RSSI Groupe de Decathlon. Durant les deux jours de recherche en direct de failles, les équipes de Decathlon ont fait tester la robustesse de leur solution e-commerce OneShop, basée sur la plateforme PrestaShop, utilisée par une trentaine de pays dans le monde. Afin de tester la plateforme E-Commerce de bout en bout, Decathlon Technology a inclut sa solution d’authentification « Login » et sa solution de fidélisation « Account » dans le périmètre du test.

Les équipes de Decathlon ont qualifié les failles avec un temps de réponse moyen de 1 heure et 6 minutes

Les équipes techniques de Decathlon Technology étaient présentes pour assurer l’évaluation et la remédiation – phase de correction des lacunes découvertes – rapide des signalements transmis par les hackers. L’équipe a eu un temps de réponse moyen de 1 heure et 6 minutes durant l’événement. Quelques dizaines de hackers ont participé à la recherche en direct des failles. Ce Live Bug Bounty était aussi ouvert aux participants de l’European Cyber ​​Cup, une compétition de piratage éthique utilisant des codes eSport dédiée aux étudiants.

« Après un peu plus d’un an dans le programme privé Bug Bounty, nous voulions atteindre un nouveau niveau en organisant un Live Bug Bounty » explique Ismaïl Bouafoud , Chef de projet Système d’Information chez Decathlon. La robustesse de la plateforme e-commerce a été testée en conditions réelles sur l’environnement de production. « Nous avions quelques appréhensions, mais l’événement a été une belle expérience et un vrai succès sur tous les fronts » dit-il.

La proximité appréciée avec les hackers

La proximité des équipes de Decathlon avec la communauté des chasseurs de vulnérabilités a été très appréciée. Elle a permis des interactions plus fluides et l’opportunité d’être confronté à de nouvelles approches de la sécurité. La compétition a été remportée par Zax suivi par Hisxo et CarlJohnson. La première soumission d’une faille de sécurité a été effectuée seulement 1 heure après le début de l’événement. Plusieurs, IDOR (Insecure Direct Object Reference) ont été découverts dans le périmètre défini.  

«  Le Bug Bounty est stimulant et engageant pour nous » commente Matthieu Vanoost, Responsable Sécurité de l’Information chez Decathlon. « Lorsque les chercheurs détectent une vulnérabilité, ils soumettent un rapport. Si cette vulnérabilité est critique, nous fixons un délai pour la corriger » poursuit-il.  La réactivité permet de maintenir la motivation des chasseurs de vulnérabilités et des équipes de Decathlon.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *