Département de la Défense: "Piratez le Pentagone", s'il vous plaît!

Le gouvernement fédéral veut embaucher des pirates pour renforcer la sécurité.

Le ministère de la Défense a annoncé jeudi que les programmeurs pourraient s’inscrire pour son projet «Hack the Pentagon», un nouveau partenariat avec HackerOne qui centralisera certains des besoins de sécurité du DOD.

Le programme pilote «Bug Bounty» se déroulera du 18 avril au 12 mai et les inscriptions sont en cours. Les pirates peuvent demander à être sélectionnés par HackerOne, qui organise le processus de sélection.

Alors, pourquoi le gouvernement engage-t-il des pirates informatiques pour renforcer la sécurité? Ce n’est pas nouveau. De nombreuses entreprises organisent des hackathons, offrant des prix à tous les programmeurs suffisamment brillants et assidus pour creuser des trous dans les logiciels. Certains d’entre eux se voient éventuellement offrir un emploi s’ils sont suffisamment bons.

"Le projet pilote Hack the Pentagon est calqué sur les défis similaires menés par certaines des plus grandes entreprises du pays pour améliorer la sécurité et la fourniture de réseaux, de produits et de services numériques", a déclaré le secrétaire de presse du Pentagone, Peter Cook. "En offrant un moyen juridique de divulguer de manière responsable les vulnérabilités en matière de sécurité, les primes de bogues engagent la communauté des hackers à contribuer à la sécurité d'Internet."

Comme le dit Cook, HackerOne est une entreprise particulièrement «réputée», avec des centaines de clients, notamment Twitter, Yahoo !, Snapchat et Uber, qui s’appuient sur elle pour trouver des vulnérabilités avant les méchants.

Alex Rice, CTO et fondateur de HackerOne, raconte Inverse que plusieurs centaines de pirates seront impliqués dans le programme pilote - les applications sont ouvertes jusqu'à la mi-avril, il n'y a donc pas de chiffres définitifs au moment de la rédaction de cet article. HackerOne connectera le DOD à une communauté de hackers validée et sur invitation uniquement, qui travaillera à identifier les zones de vulnérabilité au sein du DOD.

Même pour les entreprises disposant de budgets de sécurité importants, les vulnérabilités persistent, a déclaré Rice. «Il existe toujours une grave pénurie de talents et d’outils disponibles en cybersécurité. Le DOD est comme toutes les autres organisations confrontées au fait qu’il existe un écart entre les "meilleures" pratiques traditionnelles et ce que l’intelligence humaine est capable de faire.Ces programmes de primes sont donc à la pointe de la lutte contre la pauvreté en appliquant le meilleur renseignement humain possible à ces vulnérabilités.

«Même le DOD ne peut pas engager suffisamment d’agents de sécurité pour se protéger contre les adversaires contre lesquels ils se battent. C’est donc ce que dit le DOD: "Nous avons déjà la meilleure équipe de sécurité, mais nous reconnaissons que cela pourrait ne pas suffire." C’est une bonne pratique de demander ce qui pourrait être manqué et d’avoir le plus grand nombre possible d’œil."

Les programmes de prime aux bogues, dans lesquels les développeurs incitent les pirates à rechercher des bogues et des insécurités dans leurs logiciels, ont été largement utilisés par les entreprises de haute technologie depuis un certain temps. Ce sera la première fois qu'un tel programme sera utilisé par le gouvernement fédéral.

«C’est assez phénoménal de voir le gouvernement des États-Unis franchir cette étape avant que tant d’industries privées le fassent», déclare Rice, qui dirigeait l’équipe de sécurité des services produits de Facebook avant de lancer HackerOne. «C’est une pratique phare dans les entreprises de haute technologie depuis des années et vous commencez à la voir se développer dans d’autres industries, mais la plupart des secteurs verticaux du secteur privé sont maintenant à la traîne par rapport au gouvernement américain. C’est incroyable de les voir innover dans cet espace. J'espère que c'est un signe de choses à venir."