L'application électorale Voatz vient d'être exclue d'un important programme de bug bounty

La plateforme de bug bounty HackerOne a rompu ses liens avec Voatz, l'application de vote mobile basée sur la blockchain, soutenue par Medici Ventures, pour violation des normes de partenariat.

Ce licenciement prive Voatz de son accès au réseau de « hackers éthiques » de HackerOne, qui échangent leur expertise en recherche de failles de code contre de l'argent. HackerOne s'associe à des entreprises souhaitant corriger d'éventuelles failles de sécurité. Pourtant, en huit ans et 1 800 relations d'affaires, jamais auparavant un partenaire n'avait été exclu, a déclaré la représentante Samantha Spielman.

La nouvelle a été rapportée pour la première fois lundi parCyberScoop.

Spielman a déclaré que la violation des « normes de partenariat » par Voatz rendait la relation non viable, malgré les succès passés du programme en matière de recherche de bugs.

« En tant que plateforme, nous travaillons sans relâche pour favoriser une relation mutuellement bénéfique entre les équipes de sécurité et la communauté des chercheurs », a-t-elle déclaré. Spielman a refusé de donner plus de détails sur la violation des normes de Voatz.

Voatz a déclaré à CoinDesk dans un communiqué regretter la « pause temporaire » de leur relation. HackerOne aurait cédé à un « petit groupe de chercheurs qui, avec quelques autres membres de la communauté, pensent que Voatz a dénoncé un chercheur au FBI ».

« Ces mensonges et cette désinformation ont été une source d’animosité envers Voatz et nos partenaires, qui font face à des attaques constantes de la part de ces chercheurs », indique le communiqué.

Le secrétaire d'État de Virginie-Occidentale, Mac Warner, a déclaré en octobre 2019 que le Federal Bureau of Investigation étaitenquêter sur une tentative de violationde l'application lors d'un programme pilote en 2018. La Virginie-Occidentale a utilisé l'application dans plusieurs projets pilotes, et Warner maintient qu'aucun vote n'a été modifié à ce jour.

Une année difficile

Voatz est devenu sous les feux des projecteurs à la mi-février lorsqueun groupe de chercheurs du MITa publié un article cinglant soulignant une myriade de failles de sécurité apparentes dans l'application. Ils ont accusé Voatz d'être une pure arnaque, critiqué sa transparence et appelé les responsables électoraux qui envisageaient l'application à y réfléchir à deux fois.

Voatz a réagi avec ses propres critiques, teintées de sarcasme.Communiqué de presse du 13 février, il a qualifié le rapport des chercheurs d’injuste et leurs « recommandations de mauvaise foi » d’irrémédiablement erronées.

Cependant, plus tôt ce mois-ci, Trail of Bitspublié un rapportSoutenant les affirmations des chercheurs du MIT, Voatz avait chargé Trail of Bits d'analyser sa plateforme.

Voatz a commencé à collaborer avec HackerOne en août 2018 et a depuis versé plus de 6 000 dollars aux chercheurs, via HackerOne et d'autres canaux. L'entreprise prévoit d'annoncer son propre programme de primes dans les prochains jours.

Virginie-Occidentalea chutéson partenariat avec l'entreprise.