Con YesWeHack, Louis Vuitton busca vulnerabilidades y sensibiliza

Louis Vuitton abrió las puertas de su sede de París a los hackers éticos de YesWeHack durante un hackathon organizado a principios de abril. Las dos empresas se conocen bien porque trabajan juntas desde hace 3 años, informa Christophe Plouseau, CIO de la casa de artículos de cuero de lujo y prêt-à-porter. “Comenzamos con una recompensa por errores en modo privado hace más de 3 años y hemos ido aumentando gradualmente el número de investigadores en este programa”, afirma. Una progresividad necesaria para Xavier Leschaeve, CISO de Louis Vuitton “para tomar la temperatura del agua del baño”. Después de este hito, "consideramos que nuestro sitio y nuestra infraestructura eran lo suficientemente sólidos como para organizar un evento público en torno a la recompensa por errores", dice el CIO.

Sensibilizar a los empleados sobre los fondos de formación para los Juegos Olímpicos

En total, unos cuarenta piratas informáticos europeos se enfrentaron al sitio de Louis Vuitton para descubrir fallos. Organizada por LV Neo, la filial digital del grupo de lujo, y YesWeHack, esta operación incluía otras motivaciones además del aspecto del desafío. Entre ellos, “la idea de hacer visible en la organización Louis Vuitton lo que es invisible, particularmente entre los empleados. Por lo tanto, existe una dimensión educativa con la organización de varios talleres para que los empleados de la sede sensibilicen sobre la seguridad”, explica Christophe Plouseau. Una apuesta ganadora porque “casi 400 empleados vinieron y fueron sensibilizados”. Entre los talleres se encontraban las tradicionales pruebas de phishing, pero también un mentalista para demostrar los aspectos psicológicos de los ciberataques. “Esto hace que la ciberseguridad sea más concreta, lo que puede parecer abstracto y restrictivo”, reconoce Xavier Leschaeve.

El evento también participa en la preparación del grupo para los Juegos Olímpicos y Paralímpicos de París en el verano de 2024. “Durante este período, algunas empresas, incluidos patrocinadores como LVMH, serán uno de los primeros objetivos. Desde hace varios meses, hemos aumentado nuestro nivel de seguridad. Por lo tanto, organizar este hackathon tres meses antes de los Juegos Olímpicos fue un motivo más para decir que estamos preparados”, explica Christophe Plouseau.

Un acelerador para descubrir defectos

Por eso, los piratas informáticos intentaron durante dos días encontrar vulnerabilidades en un perímetro relativamente grande, "todo lo que estaba abierto en Internet, con algunas excepciones, como socios externos y aplicaciones móviles", explica el CISO. Sin dar más detalles, Xavier Leschaeve observa que “el número de fallos coincidía con nuestras previsiones; Puede parecer importante en volumen, pero debemos fijarnos en el número de informes que no todos han sido aceptados, se han encontrado vulnerabilidades entre nuestros socios que nos interesan, pero que no entran dentro del alcance de la recompensa por errores. El DSI precisa también que “los hackers que estuvieron presentes y que están acostumbrados a eventos comparables encuentran generalmente entre 200 y 300 fallos, pero estamos lejos de eso. Nos dijeron que el nivel de robustez de Louis Vuitton es bastante alto”.

En total, unos cuarenta hackers éticos europeos intentaron encontrar fallos en el sitio de Louis Vuitton. (Crédito de la foto: YesWeHack)

El grupo, que cuenta con sus propios investigadores de ciberseguridad, cree que “el bug bounty es un acelerador al concentrar a los mejores hackers de Europa durante 36 horas”. En concreto, encuentran un defecto, lo envían a YesWeHack, que realiza un análisis en colaboración con los equipos de LV Neo para calificar el incumplimiento y validarlo. Por su parte, “los equipos responsables del sitio de Louis Vuitton analizan el camino de los cazadores de errores para sacar consecuencias sobre la gestión del desarrollo y protegerse mejor”, admite Christophe Plouseau. Hay que ser lo suficientemente reactivo para corregir los fallos rápidamente, “porque los hackers que han descubierto la vulnerabilidad no quieren que otros dupliquen su exploit y minimizan sus esfuerzos”, observa Xavier Leschaeve. Por tanto, según él, es imperativo “animar a la comunidad, es un verdadero trabajo. Para vulnerabilidades graves, la corrección es inmediata; Para otras fallas, trabajamos en modo ágil con sprints de 15 días para repararlas”.

Recompensas en constante aumento

Durante el hackathon, “no se encontró nada en los albores de los Juegos Olímpicos que nos preocupe”, asegura el director de sistemas de información de Louis Vuitton. “Por otro lado, hay cosas que hay que resolver rápidamente, pero es más un ajuste que otra cosa. ", él admite. En términos de recompensas, Louis Vuitton compensa económicamente a los investigadores de errores. Christophe Plouseau no comunica el importe de las bonificaciones (algunos miles de euros según nuestra información), pero indica que “en la industria del lujo, somos los más gratificantes, porque tenemos un nivel de seguridad bastante alto”. Añade que "desde el inicio de nuestra recompensa por errores, la hemos triplicado porque lleva más tiempo y los métodos son más complejos".

Se discutió el lugar del pentest en relación con el programa de búsqueda de errores. “Ambos son complementarios”, afirma inequívocamente Xavier Leschaeve. Una opinión compartida por el CIO de Louis Vuitton, “primero hicimos pentest, pero hoy hacemos ambas cosas”. El pentest se realizará más bien "cuando vaya a haber un gran cambio en una aplicación y proporcione información que el bug bounty no nos dará, por ejemplo sobre el endurecimiento de las versiones de un servidor u otros elementos que servir a atacantes éticos”, subraya el CISO. “La recompensa por errores va más allá de la mecánica y es un seguimiento continuo que se adapta perfectamente al modo ágil que hemos implementado”. Para futuros hackathons, Louis Vuitton no descarta la idea de abrir su programa de investigación de vulnerabilidades a un mayor número de hackers y, por tanto, hacerlo público.