Hack the Pentagon : 1 400 participants et plus de 100 failles découvertes

Un « très bon plan » 16
En bref
image dediée
Crédits : Digital Vision/ThinkStock
Piratage
Vincent Hermann

Le département américain de la Défense avait annoncé en mars dernier un concours de « hackers » visant à tester les défenses informatiques du Pentagone. L’opération est décrite comme un succès, avec plus d’une centaine de failles de sécurité découvertes.

L’opération avait été annoncée avec un nom provocateur, digne des plus grosses productions américaines : « Hack the Pentagon ». L’idée n’était évidemment pas d’ouvrir les portes des systèmes de défense pour permettre à n’importe qui de s’y confronter, mais bien de mettre en place une structure dans laquelle des experts de sécurité pourraient chercher à exploiter d’éventuelles failles dans des secteurs bien définis.

Ce concours avait des règles particulièrement strictes, comme on s’en doute. Les candidats devaient être ainsi américains. Pas question de faire intervenir les experts, pourtant nombreux, du monde entier. Les États-Unis se privaient ainsi de figures importantes, mais ne souhaitaient visiblement pas prendre trop de risque. D’ailleurs, tous ceux qui déposaient une candidature faisaient l’objet d’une vérification de leurs activités.

Enfin, le département de la Défense souhaitait surtout exposer des systèmes particuliers, et non laisser les experts et hackers sélectionner leurs cibles. Les machines trop critiques, soit par leur fonctionnement, soit par les données qu’elles contiennent, étaient hors de portée. Il existait donc une sélection dans laquelle les candidats pouvaient faire un choix. Objectif général : « tester et trouver des failles dans les applications, sites et réseaux du département ».

Un très bon plan...

Lors de l’annonce du programme en mars, le secrétaire à la Défense, Ashton Carter, espérait qu’il permettrait de « renforcer les défenses numériques et d’améliorer en fin de compte la sécurité nationale ». Au vu des résultats, il apparait que le concours a été une réussite. Le secrétaire, dont les propos lors d’une conférence ont été rapportés par le Washington Times, a ainsi annoncé que plus d’une centaine de failles de sécurité avaient été découvertes.

Un peu plus de 1 400 experts et hackers ont participé en tout. Chacun a pu remporter jusqu’à 15 000 dollars en fonction de la dangerosité des brèches débusquées.  Le concours s’est étalé entre le 18 avril et le 12 mai, les résultats venant tout juste d’être annoncés.

Et le responsable n’hésite pas à vanter les mérites de l’opération sur le plan de l’efficacité : « C’est essentiellement gratuit. Vous avez tous ces talents, ils passent un bon moment et vous obtenez un audit de sécurité gratuitement. C’est vraiment un très bon plan ».

... qui s'est déroulé sans accroc

Effectivement, les sommes versées – dont le détail n’est pas publié – sont moins importantes que celles mises en avant par certaines grosses entreprises. Il est par exemple arrivé à Google d’offrir jusqu’à 25 000 dollars pour une seule vulnérabilité. Les instances américaines, engagées dans un plan de modernisation de la défense informatique, obtiennent donc un panel d’experts se penchant sur ses systèmes pour une somme qui ne dépasserait pas les 21 millions de dollars si tout le monde remportait la mise maximale.

Au-delà de cette opération, on peut se demander si les États-Unis n’envisagent pas une généralisation de ce type de concours à d’autres infrastructures. Il est évident que le programme a été lancé pour collecter des avis extérieurs, les responsables informatiques ne pouvant envisager toutes les situations. Mais les systèmes du Pentagone ne sont à la base sans doute pas les plus vulnérables, même s’ils sont critiques. On se rappelle par exemple du vol d’informations sur plus de 20 000 agents du FBI ou de l’attaque contre l’Office of Personnel Management de la Maison Blanche, qui avaient montré que bien des systèmes méritaient ce genre d’attention.


chargement
Chargement des commentaires...