Au cours de l’année passée, le Pentagone, le cœur de la défense des États-Unis, a été la cible de multiples cyberattaques venues de l’étranger. En août dernier, ce sont notamment les emails du Pentagone qui se voyaient pirater, avec pour coupable désigné la Russie.
Comme nous l’évoquions en mars dernier, le Pentagone a lancé un concours pour éprouver les défenses informatiques de son site. Mais pas question de faire entrer le loup dans la bergerie pour autant, le secrétaire à la Défense, Ash Carter, avait d’ailleurs expliqué :
« Je challenge toujours nos employés à réfléchir au-delà de cette boîte à cinq faces qu’est le Pentagone. Inviter des hackers responsables à tester notre cyber-sécurité correspond bien à ce test. Je suis certain que cette initiative innovante va renforcer notre défense digitale et améliorer notre sécurité nationale ».
Plus d’un millier de « hackers responsables » (1 410) triés sur le volet ont donc été invités à livrer bataille entre le 18 avril et le 12 mai avec un département précis à hacker. Évidemment, aucun de ces sites n’hébergeait des données sensibles. En un mois, pas moins de 140 failles ont été débusquées sur les cinq sites du Pentagone et 1 189 rapports sur des vulnérabilités ont été dressés.
Le programme a coûté 150 000 dollars dont 72 000 prévus pour récompenser ces « white hat » en fonction de l’importance de la faille trouvée. Certains ont ainsi pu repartir avec des sommes s’étalant de 100 à 15 000 dollars. La première faille a été découverte 13 minutes après le début du programme.
Ce type d’opérations est de plus en plus courant, aussi bien au sein de l’administration que d’entreprises privées. Le recours aux entreprises spécialisées en recherche de vulnérabilités, comme HackerOne partenaire du concours, coûtent bien plus cher que l’enveloppe allouée à l’opération « Hack the Pentagon », ce que confirme Ash Carter : « Si nous avions utilisé la procédure classique cela nous aurait coûté plus d’un million de dollars ». Il estime également que ce genre d’opération permet de « construire des ponts avec les citoyens innovants » qui veulent aider à protéger leur pays.
Nombre de sociétés de la Silicon Valley procède ainsi sur leurs propres services, à l’instar de Google ou Facebook. En France, Qwant avait fait de même lors de la Nuit du Hack 2015, d’autres rémunèrent ces white hat qui les alertent sur des failles zero day. Seul Apple refuse de se prêter au jeu.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
“Cible” pour rire, entendons-nous !… Sinon, comment expliquer les accusations “d’agression” contre des “corsaires” comme Gary Mc Kinnon ?…