Le département américain de la Défense avait annoncé en mars dernier un concours de « hackers » visant à tester les défenses informatiques du Pentagone. L’opération est décrite comme un succès, avec plus d’une centaine de failles de sécurité découvertes.
L’opération avait été annoncée avec un nom provocateur, digne des plus grosses productions américaines : « Hack the Pentagon ». L’idée n’était évidemment pas d’ouvrir les portes des systèmes de défense pour permettre à n’importe qui de s’y confronter, mais bien de mettre en place une structure dans laquelle des experts de sécurité pourraient chercher à exploiter d’éventuelles failles dans des secteurs bien définis.
Ce concours avait des règles particulièrement strictes, comme on s’en doute. Les candidats devaient être ainsi américains. Pas question de faire intervenir les experts, pourtant nombreux, du monde entier. Les États-Unis se privaient ainsi de figures importantes, mais ne souhaitaient visiblement pas prendre trop de risque. D’ailleurs, tous ceux qui déposaient une candidature faisaient l’objet d’une vérification de leurs activités.
Enfin, le département de la Défense souhaitait surtout exposer des systèmes particuliers, et non laisser les experts et hackers sélectionner leurs cibles. Les machines trop critiques, soit par leur fonctionnement, soit par les données qu’elles contiennent, étaient hors de portée. Il existait donc une sélection dans laquelle les candidats pouvaient faire un choix. Objectif général : « tester et trouver des failles dans les applications, sites et réseaux du département ».
Un très bon plan...
Lors de l’annonce du programme en mars, le secrétaire à la Défense, Ashton Carter, espérait qu’il permettrait de « renforcer les défenses numériques et d’améliorer en fin de compte la sécurité nationale ». Au vu des résultats, il apparait que le concours a été une réussite. Le secrétaire, dont les propos lors d’une conférence ont été rapportés par le Washington Times, a ainsi annoncé que plus d’une centaine de failles de sécurité avaient été découvertes.
Un peu plus de 1 400 experts et hackers ont participé en tout. Chacun a pu remporter jusqu’à 15 000 dollars en fonction de la dangerosité des brèches débusquées. Le concours s’est étalé entre le 18 avril et le 12 mai, les résultats venant tout juste d’être annoncés.
Et le responsable n’hésite pas à vanter les mérites de l’opération sur le plan de l’efficacité : « C’est essentiellement gratuit. Vous avez tous ces talents, ils passent un bon moment et vous obtenez un audit de sécurité gratuitement. C’est vraiment un très bon plan ».
... qui s'est déroulé sans accroc
Effectivement, les sommes versées – dont le détail n’est pas publié – sont moins importantes que celles mises en avant par certaines grosses entreprises. Il est par exemple arrivé à Google d’offrir jusqu’à 25 000 dollars pour une seule vulnérabilité. Les instances américaines, engagées dans un plan de modernisation de la défense informatique, obtiennent donc un panel d’experts se penchant sur ses systèmes pour une somme qui ne dépasserait pas les 21 millions de dollars si tout le monde remportait la mise maximale.
Au-delà de cette opération, on peut se demander si les États-Unis n’envisagent pas une généralisation de ce type de concours à d’autres infrastructures. Il est évident que le programme a été lancé pour collecter des avis extérieurs, les responsables informatiques ne pouvant envisager toutes les situations. Mais les systèmes du Pentagone ne sont à la base sans doute pas les plus vulnérables, même s’ils sont critiques. On se rappelle par exemple du vol d’informations sur plus de 20 000 agents du FBI ou de l’attaque contre l’Office of Personnel Management de la Maison Blanche, qui avaient montré que bien des systèmes méritaient ce genre d’attention.
Commentaires (16)
#1
C’est un bon plan tant qu’ils sont les meilleurs payeurs. Le jour où quelqu’un paie davantage qu’eux pour obtenir le détail des failles, ils s’étonneront de ne plus en trouver…
#2
Je ne comprends pas bien. Ils ont sélectionné des gars, et les ont mis dans une salle avec une liste d’IP a testé ?
#3
Les États-Unis se privaient ainsi de figures importantes, mais ne souhaitaient visiblement pas prendre trop de risque.
Parce qu’ils les font tester sur la prod ?
#4
Et vont-il divulguer les faille trouvées (après corrections) ?
#5
#6
Et de toute façon , tout système a une redondance (voir multiple)
Donc rien n’empêche de travailler sur une redondance dédié aux tests avant déploiement
#7
Ce genre de test en Belgique, tous les serveurs de l’Etat seraient ruinés par un del . /s …
#8
Heureusement que les gens adorent l’argent. Dommage pour les gouvernements qui n’ en ont plus.
#9
Je me posais la même question… mais aussi de savoir si les failles trouvées sont nouvelles et/ou concernent des logiciels grand public, ou bien si par hasard ils ont trouvé des failles non-corrigées pour lesquels des correctifs étaient déjà disponibles
#10
Après ce vif succès, on annonce déjà une tournée internationale de cet event.
Date à confirmer pour Pékin et Moscou :p
#11
Combien de failles trouvées ont été vendues sur le dark web avant de rendre le rapport au Pentagon?
" />
#12
kevin mitnick 2 ? ^^
#13
« C’est essentiellement gratuit. Vous avez tous ces talents, ils passent un bon moment et vous obtenez un audit de sécurité gratuitement. C’est vraiment un très bon plan »
Un audit de sécurité dans lequel l’audité choisit les auditeurs et les choses à auditer… Génial.
#14
Ca se passe pas comme ça en entreprise? Elle veut faire faire un audit sur X, fait un appel d’offre et choisie la société Y…. Ou alors j’ai rien compris 
" />
#15
Ca m’étonnerait que lorsque le DoD va auditer la sécurité chez un sous-traitant, ce soit le sous-traitant qui choisisse qui, quand et quoi.
#16
Effectivement si le DoD sait ce qu’il faut auditer chez le sous-traitant car il a la connaissance de l’environnement, où sont les points faibles… je suis d’accord avec toi
" />