Le ministère de la Défense (MoD) a pour la première fois versé des primes aux pirates informatiques pour avoir découvert des vulnérabilités dans ses réseaux informatiques avant qu’elles ne puissent être exploitées par les adversaires du Royaume-Uni.
Un peu plus de deux douzaines de pirates civils ont été autorisés à participer au programme de 30 jours après avoir subi des vérifications d’antécédents avec HackerOne, une société spécialisée dans les concours de bug bounty.
Dans une annonce mardi, la responsable de la sécurité de l’information du ministère, Christine Maxwell, a déclaré que le test de sécurité était “le dernier exemple de la volonté du ministère de la Défense de poursuivre des approches innovantes et non traditionnelles” pour sécuriser ses réseaux.
Les programmes de bug bounty offrent aux pirates une récompense financière pour la découverte et la divulgation de vulnérabilités logicielles afin qu’elles puissent être corrigées plutôt que exploitées par des États hostiles.
Bon nombre des plus grandes entreprises technologiques offrent des récompenses monétaires aux chercheurs en sécurité, ou aux pirates, pour avoir divulgué des problèmes afin qu’ils puissent être corrigés – et le ministère de la Défense est la dernière organisation gouvernementale à organiser un concours spécifique à ces fins.
Trevor Shingles, l’un des participants, s’est concentré sur l’identification des contournements d’authentification qui permettraient aux personnes déjà présentes sur les systèmes du ministère de la Défense d’accéder à du matériel auquel elles ne devraient pas pouvoir accéder.
M. Shingles, qui est britannique mais n’avait aucune affiliation avec le gouvernement britannique avant de participer au programme de bug bounty, s’est connecté aux systèmes du ministère de la Défense depuis une chaise confortable dans son bureau à la maison.
Mme Maxwell a déclaré : « Travailler avec la communauté du piratage éthique nous permet de développer notre groupe de talents technologiques et d’apporter des perspectives plus diverses pour protéger et défendre nos actifs.
« Comprendre où se trouvent nos vulnérabilités et travailler avec la communauté du piratage éthique au sens large pour les identifier et les corriger est une étape essentielle pour réduire les cyber-risques et améliorer la résilience. »
M. Shingles a déclaré qu’il ne voulait pas entrer dans “les détails” des récompenses qu’il a reçues, mais a ajouté qu’il était “agréable de voir le ministère de la Défense prendre la même direction en matière de sécurité que le département américain de la Défense (DoD)” , qui a déjà exécuté des programmes de primes de bogues auxquels il a participé.
Katie Moussouris, chercheuse en sécurité et directrice générale de Luta Security, a travaillé avec le DoD américain pour lancer le premier programme de bug bounty du Pentagone en 2016 après avoir été le pionnier de certains des principes fondamentaux dans le domaine de la divulgation des vulnérabilités.
Avant de travailler avec le DoD, elle a lancé le programme de primes de bogues de Microsoft en 2013, en élaborant la théorie des jeux et l’économie qui rendraient les primes de bogues viables pour une entreprise qui recevait alors jusqu’à 250 000 rapports de vulnérabilité gratuits par an de la communauté des chercheurs en sécurité.
“À partir de là, j’ai été invitée à informer le Pentagone sur la façon de traiter un problème aussi complexe et de le faire évoluer afin qu’il puisse fonctionner dans de grandes organisations complexes comme le département américain de la Défense”, a déclaré Mme Moussouris à Sky News.
Suite à cela, Luta Security a été contacté par le National Cyber Security Center (NCSC) du Royaume-Uni pour aider à façonner les mécanismes du gouvernement britannique pour coordonner les rapports de vulnérabilité et de bogue.
“J’avais travaillé avec le ministère de la Défense dans ce programme pilote, il est donc agréable de voir qu’il leur a fallu quelques années pour mettre de l’ordre dans leurs processus – c’est exactement ce que nous recommandons”, a-t-elle ajouté.
« Les programmes de bug bounty sont un outil utile, mais seulement si vous avez investi dans des préparatifs pour corriger ces bugs en premier lieu. Plus important encore, vous avez investi vos propres ressources pour essayer de découvrir vous-même les fruits à portée de main en premier.
“Je suis heureux pour mes amis du MoD, de savoir qu’ils étaient impatients de lancer un programme de primes de bogues même à l’époque où je travaillais avec eux il y a quelques années.
“Il est donc bon de voir qu’ils ont réussi à faire mûrir leurs processus et à se préparer pour une prime de bogue pendant cette période”, a-t-elle ajouté.
Les primes signifiaient que les vulnérabilités pouvaient être corrigées plutôt qu’exploitées
Martin Mickos, directeur général de HackerOne, a déclaré : « Les gouvernements du monde entier prennent conscience du fait qu’ils ne peuvent plus sécuriser leurs immenses environnements numériques avec des outils de sécurité traditionnels.
« Avoir un processus formalisé pour accepter les vulnérabilités de tiers est largement considéré comme la meilleure pratique à l’échelle mondiale, le gouvernement américain le rendant obligatoire pour ses agences civiles fédérales cette année.
“Le ministère de la Défense britannique ouvre la voie au gouvernement britannique avec des solutions avant-gardistes et collaboratives pour sécuriser ses actifs numériques et je prédis que nous verrons davantage d’agences gouvernementales suivre son exemple.”
