Le Pentagone a annoncé qu’un programme particulier de test de sa sécurité serait prochainement lancé. Les experts en sécurité sont ainsi invités à s’enregistrer pour éprouver les systèmes de l’installation militaire. Cependant, les conditions de participation sont strictes et limitées.
« Hack the Pentagon » : c’est par ce nom assez provocateur que le Pentagone, siège du Département américain de la Défense, convie les professionnels de la sécurité à tester la défense de ses systèmes. Mais il ne s’agit pas ici d’un remake quelconque d’un film où un hacker s’écrierait « Je suis dedans ! ». Les conditions de participation sont particulièrement restrictives, et il est clair que lesdites hackers ne pourront pas faire n’importe quoi.
Être Américain et propre sur soi
Tout d’abord, les personnes qui s’inscriront à ce programme devront obligatoirement être américaines. Pas question de faire participer le moindre expert qui se trouverait hors des frontières des États-Unis. Ensuite, les inscrits devront se soumettre à une vérification de leurs activités et montrer patte blanche. L’objectif est d’épurer au maximum la liste des prétendants pour ne garder que ceux dont le comportement est jugé correct.
Enfin, et c’est sans doute le point le plus important, les hackers ne pourront pas viser n’importe quel système du Pentagone. Les candidats se verront ainsi attribuer un département précis pour en éprouver les défenses. On imagine que le Pentagone mettra uniquement en avant ceux pour lesquels il pourrait exister un risque. Le programme commencera quant à lui dès le mois prochain.
Il s'agit donc globalement d'un bug bounty, c'est-à-dire une recherche de problèmes à grande échelle, avec des récompenses financières à la clé. Le Pentagone ne donne par contre aucun chiffre. Ce sera également le premier d'un programme « conçu pour tester et trouver des failles dans les applications, sites et réseaux du département ».
Se confronter à l'imprévu
Car c’est là toute la question : pourquoi le Pentagone se lance-t-il dans un tel programme ? Le puissant Département de la Défense dispose sans aucun doute déjà d’une armada d’experts, sans parler des multiples audits de sécurité qui doivent mettre en avant les faiblesses. Seulement voilà, il est impossible de couvrir tous les cas de figure possibles, et c’est certainement cette réalité qui fait réagir le Pentagone.
L’idée est probablement de s’appuyer sur des experts extérieurs pour vérifier que les systèmes résistent à des tentatives auxquelles les responsables n’ont pas pensé. Les États-Unis sont conscients que certaines infrastructures primordiales ne sont pas assez protégées. On a pu le voir sur la seule année écoulée, plusieurs piratages ont permis d’importantes fuites de données, comme le vol des informations concernant plus de 20 000 agents du FBI ou l’attaque contre l’Office of Personnel Management.
