L’armée américaine a partagé les résultats de son premier Bug Bounty, nommé « Hack The Army » qui s’est déroulé pendant 3 semaines. Ce concours avait débuté le 21 décembre dernier et constituait le second programme gouvernemental de ce type, après celui visant le Pentagone.
Et le moins que l’on puisse dire est que cette chasse aux bugs a été prolifique. L’armée américaine a reçu plus de 400 rapports de bugs dont 118 étaient uniques et opérationnelles. Les participants ayant trouvé ces derniers bugs, ont été récompensés à hauteur de 100 000 dollars. L’US Army a rappelé que 371 personnes ont participé au Bug Bounty dont 25 employés gouvernementaux et 17 provenant des rangs de la Grande Muette.
Pourtant, elle a partagé des détails sur deux vulnérabilités sur le site goarmy.com. Combinées, ces deux failles peuvent ouvrir l’accès, sans authentification, à un site interne du ministère de la Défense. « Ils sont arrivés par un proxy ouvert, ce qui signifie que le routage n’avait pas été verrouillé comme il aurait dû l’être et un des chercheurs sans même le savoir, a pu accéder à ce réseau interne », explique l’armée dans un message publié sur HackerOne, hébergeur du bug bounty. Elle ajoute : « En soi, les vulnérabilités ne sont pas particulièrement intéressantes, mais quand elles sont combinées, cela devient vraiment très grave. » Bien évidemment ces deux brèches ont été colmatées rapidement après leurs découvertes.
Le message se poursuit en vantant l’importance des personnes qualifiées pour la recherche de bugs, plutôt que de confier cette tâche à des systèmes d’automatisation pour éliminer les vulnérabilités. Et cette recherche doit faire appel à un public plus large que les simples militaires ou les agents gouvernementaux. L’ancien secrétaire de l’Armée, Eric Fanning, expliquait en novembre dernier lors de la présentation de Hack The Army que « l’Armée doit tendre la main aux groupes technologiques et aux chercheurs aguerris à la pénétration des réseaux informatiques normalement interdits d’accès. Habituellement, nous aurions évité ce genre de personnes ».
La réussite de ce second programme pourrait donner des idées à d’autres administrations américaines. Il reste à savoir qu’elle sera la stratégie de la nouvelle administration de Donald Trump en la matière. A suivre…
A lire aussi :
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.