Le département américain de la Défense prévoit déjà d’étendre son programme « Hack the Pentagon » pour y intégrer d’autres systèmes et faire participer un plus grand nombre de candidats. Les organisateurs sont particulièrement satisfaits des résultats.

Le programme Hack the Pentagon visait à ouvrir certains systèmes du département de la Défense à des chercheurs en sécurité et hackers divers pour en tester les défenses. La première phase a eu lieu du 18 avril au 12 mai, le DoD ayant utilisé la plateforme HackerOne pour organiser la collecte des données.

On sait donc maintenant que 1 410 personnes ont participé à cette première chasse aux bugs. 1 189 rapports ont été déclarés, 138 étant d’authentiques découvertes de failles de sécurité. En tout, 71 200 dollars ont été distribués, les primes versées allant de 100 à 15 000 dollars. On comprend donc mieux les propos du secrétaire à la Défense, Ashton Carter : « C’est essentiellement gratuit. Vous avez tous ces talents, ils passent un bon moment et vous obtenez un audit de sécurité gratuitement. C’est vraiment un très bon plan ». En tout, le coût de cette première phase n’a pas dépassé les 150 000 dollars.

Étendre le programme au reste du département

Mais le programme n’a en fait vécu pendant un mois que sa première étape, essentiellement une phase pilote. Qu’en espérer pour la suite ? Davantage évidemment. Comme l’a indiqué un porte-parole du département, ce grand test de sécurité n’a été fait que sur une sélection de sites exposés publiquement (domaines defense.gov, dodlive.mil, dvidshub.net, myafn.net et dimoc.mil). Conséquence : « Nous pensons que le concept réussira une fois appliqué à beaucoup, sinon tous les autres défis de sécurité du département de la Défense ».

L’objectif serait bien entendu d’obtenir les mêmes bénéfices que durant la première phase sur les autres systèmes. Et si le département compte réellement exposer l’ensemble de ses systèmes, il obtiendrait les bénéfices d’un vaste audit de ses infrastructures. Mais cette approche représente une grande cassure dans les habitudes, le DoD opérant habituellement avec un système classique de prestataires.

Chris Lynch, directeur du Defense Digital Service au sein du département, a ainsi expliqué ce changement au Federal Times : « La différence ici est le modèle participatif. L’approche traditionnelle de la sécurité informatique consiste à travailler avec des prestataires. Nous leur attribuons un contrat et ces entreprises nous fournissent un lot de services. Ceci est un peu différent ». Car non seulement les personnes impliquées sont nettement plus nombreuses, mais chacune a potentiellement une approche nouvelle d’une situation donnée.

Des avantages trop nombreux pour ne pas inclure les civils

Comment le DoD ne pourrait-il pas considérer les avantages évidents d’une telle mécanique ? La facture de 150 000 dollars aurait été nettement plus salée si le travail de collecte de bugs avait été confié à un ou plusieurs prestataires. Carter estime d'ailleurs qu'elle aurait pu dépasser le million de dollars. Une approche plus complète et moins dispendieuse donc, mais qui requiert un minutieux travail de préparation, notamment pour élargir le nombre de participants.

Ashton Carter, dans son annonce des résultats, a précisé que chaque composante du DoD était en cours d’évaluation pour dresser la liste de celles qui pouvaient s’ouvrir à une telle chasse « publique ». Il a ajouté : « Lorsqu’on parle d’information et de technologie, la défense passe habituellement par des systèmes fermés. Mais plus nous avons de regards amicaux sur nos systèmes et sites web, plus nous pouvons trouver de problèmes, plus nous pouvons corriger de failles et plus nous pouvons donner de sécurité à nos combattants ». En d’autres termes, la sécurité par l’obscurité n’est plus suffisante.

Parallèlement, et en attendant que d’autres phases soient lancées, le département de la Défense mettra en place une infrastructure de communication. Ashton Carter a affirmé qu’il devait se doter d’un moyen unique et global pour les hackers et chercheurs en sécurité de signaler un problème. Un système est donc en cours de création. Pour le reste, il faudra attendre de futures annonces.