Exploit Corner

p. 06  HTTP : les aléas et faiblesses liés aux en-têtes saut par saut

Pentest Corner

p. 16  Are you (JSON Web) Token to me ?

Forensic Corner

p. 29  Branle-bas de combat dans Kubernetes

Dossier : Bug Bounty

p. 34  Introduction
p. 35  Les plateformes de bug bounty
p. 44  Le bug bounty vu côté client
p. 52  Bug Bounty : le retour d’un chasseur

Système

p. 56  Coupe du Monde 2022 : Ehteraz, entre précaution et surveillance

Code

p. 70  -ftrivial-auto-var-init : le prix du progrès

Réseau

p. 74  Des pare-feux pour le HDMI

Vincent Strubel, le nouveau directeur général de l’ANSSI, a récemment souligné lors du FIC l’importance d’un Cloud de confiance et de la qualification SecNumCloud pour faire émerger des acteurs nationaux et garantir la sécurité du patrimoine informationnel des entreprises et des administrations françaises.

Cependant, malgré ces préoccupations, les directions numériques continuent de privilégier les acteurs américains, avec plus de 70% des contrats Cloud souscrits auprès d’AWS, Microsoft et Google, comme le souligne le CIGREF [1]. Lors de la conférence d’ouverture du FIC, le président d’Hexatrust a regretté l’absence d’une version européenne du « Small Business Act » [2], qui réserverait une partie de la commande publique pour les startups européennes. Cette posture européenne visant à favoriser la concurrence, même si cela se fait aux dépens de ses propres entreprises, peut aujourd’hui sérieusement questionner son efficacité. J’ai récemment échangé avec un collègue travaillant pour une entreprise française de retail très fortement implantée à l’international, qui m’a indiqué que pour leurs structures en Chine, ils utilisent le Cloud Alibaba, et qu’en Russie, ils sont contraints d’utiliser Yandex, mais pour l’Europe et le reste du monde, ils utilisent exclusivement GCP.

Sans réglementations qui favorisent les entreprises locales, il sera difficile de rivaliser avec les géants américains qui bénéficient d’une avance considérable en matière de recherche et développement, de financement et de marketing. Bien que l’État français ait pris des mesures pour bloquer les nouvelles migrations de ses administrations vers des solutions collaboratives américaines, telles que Microsoft 365, cela s’est souvent traduit par le maintien sous perfusion d’un vieux serveur Exchange en espérant que Microsoft ne retire pas le support de la solution avant que Capgemini et Orange ne puissent proposer une version administrativement souveraine [3] avec Bleu. Quelques positions différentes ont toutefois été signalées, comme l’Éducation nationale qui a développé une solution souveraine de visioconférence en s’appuyant sur des briques Open Source et un fournisseur de Cloud français [4], ainsi que son projet de créer une suite collaborative souveraine pour tous ses personnels, soit plus d’un million de comptes.

Malgré les efforts de certains acteurs pour favoriser l’émergence d’acteurs de Cloud européens, il reste encore beaucoup à faire pour rivaliser avec les géants américains ou maintenant chinois. Les stratégies visant à choisir des acteurs européens semblent encore très isolées et l’émergence d’opérateurs de Cloud européens majeurs ne pourra se développer sans une réglementation favorisant les acteurs locaux, comme cela se pratique dans d’autres pays disposant de géants du numérique tels que la Chine ou les États-Unis.

Cédric Foll / cedric@miscmag.com / @follc

[1] https://www.lemondeinformatique.fr/actualites/lire-fic-2023-le-cloud-de-confiance-au-centre-des-debats-90082.html
[2] https://fr.wikipedia.org/wiki/Small_Business_Act
[3] Du hardware américain et chinois faisant tourner du code Microsoft
[4] https://eduscol.education.fr/3209/le-service-de-classes-virtuelles-sur-la-plateforme-appseducationfr