Hack le Pentagone : déjà 100 bugs découverts

Jacques Cheminat,

Belle moisson de bugs pour les hackers admis à participer au programme Hack the Pentagon. Pas moins de 100 vulnérabilités ont été découvertes.

En mars dernier, le département américain de la Défense lançait son programme de recherche de bugs, « Hack The Pentagon ». Il a fallu attendre avril pour que les inscriptions à ce concours soient ouvertes. Le programme créé en partenariat avec HackerOne était réservé aux hackers préalablement enregistrés et dont le profil était vérifié. Ces derniers devaient également être de nationalité américaine. Les cibles étaient par ailleurs prédéfinies en dehors des périmètres sensibles.

Un challenge que 1400 hackers certifiés ont décidé de relever entre le 12 avril et le 18 mai. Et la moisson a été bonne, a annoncé Ashton Carter, secrétaire d’Etat à la Défense lors d’un forum technologique à Washington. Pas moins de 100 failles ont été découvertes, précise le ministre, sans pour autant donner de détails sur ces vulnérabilités

Il a ajouté que le ministère de la Défense prévoyait d’accorder des primes à hauteur de 15 000 dollars. « Les hackers nous aident à renforcer notre sécurité, à un coût moindre », indique Ashton Carter avant d’ajouter qu’il préfère « le travail brillant des hackers blancs, plutôt que se faire donner des leçons par des pirates ».

Réussite du premier Bug Bounty fédéral

Un premier Bug Bounty réussi donc pour le Pentagone, qui assume le fait d’avoir été pionnier sur le plan fédéral. « Pourquoi personne d’autres ne l’a fait au niveau fédéral ? », s’est interrogé Ashton Carter. « Il n’y a pas une bonne réponse à cette question », élude le politique, mais de vanter la réussite de son initiative. Le Pentagone a suivi tardivement un mouvement initié par les géants de la Silicon Valley, comme Facebook, Microsoft et Google. Des firmes qui ont dépensé plusieurs millions de dollars pour récompenser les hackers.

A noter que le Pentagone a créé en mars dernier le « Defense Innovation Advisory », en charge d’adapter l’administration au changement technologique issu du monde privé. Ce conseil consultatif est dirigé par Eric Schmidt, président d’Alphabet, la maison-mère de Google. Ashton Carter a indiqué dans son discours à Washington que d’autres membres vont intégrer ce conseil comme le fondateur de Linkedin, Reid Hoffman.

A lire aussi :

Sécurité : le MIT teste son bug bounty

Bounty Factory : la recherche de bugs made in Europe est née

David B. Gleason, CC BY-SA 2.0