Le ministère de la Défense (MoD) a pour la première fois versé des primes aux pirates informatiques pour avoir découvert des vulnérabilités dans ses réseaux informatiques avant qu'elles ne puissent être exploitées par les adversaires du Royaume-Uni.
Un peu plus de deux douzaines de pirates civils ont été autorisés à participer au programme de 30 jours après avoir subi des vérifications d'antécédents avec HackerOne, une société spécialisée dans les concours de bug bounty.
Dans une annonce mardi, la responsable de la sécurité de l'information du ministère, Christine Maxwell, a déclaré que le test de sécurité était "le dernier exemple de la volonté du ministère de la Défense de poursuivre des approches innovantes et non traditionnelles" pour sécuriser ses réseaux.
Secrets de défense dévoilés par des personnes qui envoient des fichiers à des comptes de messagerie personnels
Les programmes de bug bounty offrent aux pirates une récompense financière pour la découverte et la divulgation de vulnérabilités logicielles afin qu'elles puissent être corrigées plutôt que exploitées par des États hostiles.
Bon nombre des plus grandes entreprises technologiques offrent des récompenses monétaires aux chercheurs en sécurité, ou aux pirates, pour avoir divulgué des problèmes afin qu'ils puissent être corrigés - et le ministère de la Défense est la dernière organisation gouvernementale à organiser un concours spécifique à ces fins.
Publicité
Trevor Shingles, l'un des participants, s'est concentré sur l'identification des contournements d'authentification qui permettraient aux personnes déjà présentes sur les systèmes du ministère de la Défense d'accéder à du matériel auquel elles ne devraient pas pouvoir accéder.
"J'ai eu accès au système, mais j'ai vu plus de fonctionnalités dans le système que je n'étais censé le faire", a-t-il déclaré à Sky News.
En savoir plus sur le ministère de la Défense
Babcock et Rolls-Royce préparent la vente de leurs parts dans l'entrepreneur RAF Voyager AirTanker
Un haut fonctionnaire démis de ses fonctions du ministère de la Défense après avoir perdu une cachette de documents très secrets
Des « périls » subsistent en Afghanistan, prévient Johnson, alors que la campagne militaire britannique de 20 ans se termine
Un haut fonctionnaire du ministère de la Défense au centre d'une enquête sur la découverte de documents militaires sensibles à l'arrêt de bus
Des documents sensibles sur le passage du HMS Defender à travers la mer Noire "trouvés à un arrêt de bus dans le Kent"
Le sommet Johnson-Poutine est possible si la Russie met fin à ses "activités malveillantes", selon le secrétaire à la Défense
Un porte-parole de Hacker One a expliqué que les participants avaient un accès privilégié à certaines des applications Web internes du ministère de la Défense et ne testaient pas les actifs publics, bien que la société et le ministère se soient mis d'accord en décembre dernier sur une politique de divulgation des vulnérabilités pour les personnes qui ont trouvé problèmes avec ceux-ci.
M. Shingles, qui est britannique mais n'avait aucune affiliation avec le gouvernement britannique avant de participer au programme de bug bounty, s'est connecté aux systèmes du MoD via un VPN (Virtual Private Network) depuis une chaise confortable dans son bureau à la maison.
Mme Maxwell a déclaré : « Travailler avec la communauté du piratage éthique nous permet de développer notre groupe de talents technologiques et d'apporter des perspectives plus diverses pour protéger et défendre nos actifs.
« Comprendre où se trouvent nos vulnérabilités et travailler avec la communauté du piratage éthique au sens large pour les identifier et
les corriger est une étape essentielle pour réduire les cyber-risques et améliorer la résilience. »M. Shingles a déclaré qu'il ne voulait pas entrer dans "les détails" des récompenses qu'il a reçues, mais a ajouté qu'il était "agréable de voir le ministère de la Défense prendre la même direction en matière de sécurité que le département américain de la Défense (DoD)" , qui a déjà exécuté des programmes de primes de bogues auxquels il a participé.
Image:
Trevor Shingles faisait partie des pirates informatiques à recevoir une prime du ministère de la Défense
Katie Moussouris, chercheuse en sécurité et directrice générale de Luta Security, a travaillé avec le DoD américain pour lancer le premier programme de bug bounty du Pentagone en 2016 après avoir été le pionnier de certains des principes fondamentaux dans le domaine de la divulgation des vulnérabilités.
Avant de travailler avec le DoD, elle a lancé le programme de primes aux bogues de Microsoft en 2013, en élaborant la théorie des jeux et l'économie qui rendraient les primes de bogues viables pour une entreprise qui recevait alors jusqu'à 250 000 rapports de vulnérabilité gratuits par an de la communauté des chercheurs en sécurité.
"À partir de là, j'ai été invitée à informer le Pentagone sur la façon de traiter un problème aussi complexe et de le faire évoluer afin qu'il puisse fonctionner dans de grandes organisations complexes comme le département américain de la Défense", a déclaré Mme Moussouris à Sky News.
Suite à cela, Luta Security a été contacté par le National Cyber Security Center (NCSC) du Royaume-Uni pour aider à façonner les mécanismes du gouvernement britannique pour coordonner les rapports de vulnérabilité et de bogue.
"J'avais travaillé avec le ministère de la Défense dans ce programme pilote, il est donc agréable de voir qu'il leur a fallu quelques années pour mettre leurs processus en ordre - c'est exactement ce que nous recommandons", a-t-elle ajouté.
« Les programmes de bug bounty sont un outil utile, mais seulement si vous avez investi dans des préparatifs pour corriger ces bugs en premier lieu. Plus important encore, vous avez investi vos propres ressources pour essayer de découvrir vous-même les fruits à portée de main en premier.
"Je suis heureux pour mes amis du MoD, de savoir qu'ils étaient impatients de lancer un programme de primes de bogues même à l'époque où je travaillais avec eux il y a quelques années.
"C'est donc bien de voir qu'ils ont réussi à faire mûrir leurs processus et à se préparer pour une prime de bogue pendant cette période", a-t-elle ajouté.
Image:
Les primes signifiaient que les vulnérabilités pouvaient être corrigées plutôt qu'exploitées
Martin Mickos, PDG de HackerOne, a déclaré : « Les gouvernements du monde entier prennent conscience du fait qu'ils ne peuvent plus sécuriser leurs immenses environnements numériques avec des outils de sécurité traditionnels.
« Avoir un processus formalisé pour accepter les vulnérabilités de tiers est largement considéré comme la meilleure pratique à l'échelle mondiale, le gouvernement américain le rendant obligatoire pour ses agences civiles fédérales cette année.
"Le ministère de la Défense britannique ouvre la voie au gouvernement britannique avec des solutions avant-gardistes et collaboratives pour sécuriser ses actifs numériques et je prédis que nous verrons davantage d'agences gouvernementales suivre son exemple."
