Pour gérer vos consentements :

Le Bug Bounty du siècle : hackez le Pentagone

C’est un peu le rêve de tout hacker, celui qui lui ouvre les portes de la gloire : un hack du saint des saints dans le monde de la sécurité, le Pentagone. Sauf que l’aventure est évidemment hautement risquée et a toutes les chances de se terminer dans une cellule. Le département de la défense américaine offre toutefois une voie moins périlleuse à tous ceux que le défi titille : un Bug Bounty, autrement dit une épreuve permettant de tester officiellement la solidité de certains services Web du Pentagone. Il s’agit là du premier programme de ce type ouvert par le gouvernement fédéral américain. Mis en place le mois prochain, il sera toutefois réservé aux hackers préalablement enregistrés et dont le profil sera vérifié. Ils devront obligatoirement être de nationalité américaine.

« Je pense que cette initiative innovante va renforcer nos défenses numériques et, in fine, améliorer la sécurité nationale », commente le secrétaire américain à la Défense Ash Carter, dans le communiqué dévoilant ce programme pilote. Le Pentagone espère que des milliers de participants qualifiés répondront à son appel et testeront la robustesse de ses infrastructures IT. Le Pentagone n’a pas précisé quelles récompenses seront attribuées aux hackers – les Bug Bounty peuvent parfois être associés à d’importantes récompenses -, les détails du programme n’étant pas encore finalisés.

Le Pentagone veut attirer les experts du privé

Les tests de sécurité seront limités à des systèmes exposés sur les réseaux publics, les systèmes plus sensibles n’étant pas inclus – au moins dans un premier temps – dans le programme. Rappelons que le Pentagone emploie ses propres experts en tests de sécurité (baptisés red teams) pour éprouver la solidité de ses réseaux.

L’initiative du Bug Bounty est conduite par le Defense Digital Service (DDS) du Pentagone, une équipe montée en novembre dernier et dont la vocation est de faire entrer les experts de l’industrie IT dans le monde très fermé de la défense américaine. Selon Ash Carter, DDS, dirigé par un ancien de Microsoft Chris Lynch, a déjà recruté des spécialistes issus d’entreprises comme Google ou Shopify.

De nombreuses entreprises, comme Google, Microsoft, PayPal, Yahoo mais aussi General Motors ou United Airlines, ont recours aux Bug Bounty pour améliorer la sécurité de leurs infrastructures IT. Aux Etats-Unis, plusieurs plateformes spécialisées dans l’organisation de ces concours, comme HackerOne ou BugCrowd, ont même vu le jour. En France, le marché est plus naissant, même si une première initiative, Bounty Factory, vient naître, emmenée par Guillaume Vassault-Houlière, le RSSI de Qwant, et le blogueur spécialisé Korben.

A lire aussi :

Bounty Factory : la recherche de bugs made in Europe est née

Crédit photo : David B. Gleason, CC BY-SA 2.0

Recent Posts

OVHcloud : 5 start-up internationales à suivre

Au terme de l'événement OVHcloud Startup Program Showcase, 5 start-up ont été départagées. U Impact…

2 heures ago

GitHub Copilot : danger sur l’open source ?

Désormais en phase commerciale, GitHub Copilot est source de questionnements éthiques et juridiques dans la…

2 heures ago

Noyau Linux : Rust fusionné demain (ou presque)

Le support Rust for Linux pourrait être prêt pour la version 5.20 du noyau Linux,…

3 jours ago

Cloud et sécurité : les référentiels-clés selon le Clusif

Le Clusif a listé 23 référentiels pour traiter le sujet de la sécurité dans le…

3 jours ago

Tech : une équité salariale contrariée

Malgré des avancées, la diversification des embauches et l'équité salariale progressent lentement dans les technologies…

3 jours ago

Assurance cyber : le marché français en 9 chiffres

Primes, capacités, franchises, indemnisations... Coup de projecteur sur quelques aspects du marché français de l'assurance…

3 jours ago