Hack the Pentagon : 1 400 participants et plus de 100 failles découvertes

Hack the Pentagon : 1 400 participants et plus de 100 failles découvertes

Un « très bon plan »

Avatar de l'auteur

Vincent Hermann

Publié dansLogiciel

15/06/2016
16
Hack the Pentagon : 1 400 participants et plus de 100 failles découvertes

Le département américain de la Défense avait annoncé en mars dernier un concours de « hackers » visant à tester les défenses informatiques du Pentagone. L’opération est décrite comme un succès, avec plus d’une centaine de failles de sécurité découvertes.

L’opération avait été annoncée avec un nom provocateur, digne des plus grosses productions américaines : « Hack the Pentagon ». L’idée n’était évidemment pas d’ouvrir les portes des systèmes de défense pour permettre à n’importe qui de s’y confronter, mais bien de mettre en place une structure dans laquelle des experts de sécurité pourraient chercher à exploiter d’éventuelles failles dans des secteurs bien définis.

Ce concours avait des règles particulièrement strictes, comme on s’en doute. Les candidats devaient être ainsi américains. Pas question de faire intervenir les experts, pourtant nombreux, du monde entier. Les États-Unis se privaient ainsi de figures importantes, mais ne souhaitaient visiblement pas prendre trop de risque. D’ailleurs, tous ceux qui déposaient une candidature faisaient l’objet d’une vérification de leurs activités.

Enfin, le département de la Défense souhaitait surtout exposer des systèmes particuliers, et non laisser les experts et hackers sélectionner leurs cibles. Les machines trop critiques, soit par leur fonctionnement, soit par les données qu’elles contiennent, étaient hors de portée. Il existait donc une sélection dans laquelle les candidats pouvaient faire un choix. Objectif général : « tester et trouver des failles dans les applications, sites et réseaux du département ».

Un très bon plan...

Lors de l’annonce du programme en mars, le secrétaire à la Défense, Ashton Carter, espérait qu’il permettrait de « renforcer les défenses numériques et d’améliorer en fin de compte la sécurité nationale ». Au vu des résultats, il apparait que le concours a été une réussite. Le secrétaire, dont les propos lors d’une conférence ont été rapportés par le Washington Times, a ainsi annoncé que plus d’une centaine de failles de sécurité avaient été découvertes.

Un peu plus de 1 400 experts et hackers ont participé en tout. Chacun a pu remporter jusqu’à 15 000 dollars en fonction de la dangerosité des brèches débusquées.  Le concours s’est étalé entre le 18 avril et le 12 mai, les résultats venant tout juste d’être annoncés.

Et le responsable n’hésite pas à vanter les mérites de l’opération sur le plan de l’efficacité : « C’est essentiellement gratuit. Vous avez tous ces talents, ils passent un bon moment et vous obtenez un audit de sécurité gratuitement. C’est vraiment un très bon plan ».

... qui s'est déroulé sans accroc

Effectivement, les sommes versées – dont le détail n’est pas publié – sont moins importantes que celles mises en avant par certaines grosses entreprises. Il est par exemple arrivé à Google d’offrir jusqu’à 25 000 dollars pour une seule vulnérabilité. Les instances américaines, engagées dans un plan de modernisation de la défense informatique, obtiennent donc un panel d’experts se penchant sur ses systèmes pour une somme qui ne dépasserait pas les 21 millions de dollars si tout le monde remportait la mise maximale.

Au-delà de cette opération, on peut se demander si les États-Unis n’envisagent pas une généralisation de ce type de concours à d’autres infrastructures. Il est évident que le programme a été lancé pour collecter des avis extérieurs, les responsables informatiques ne pouvant envisager toutes les situations. Mais les systèmes du Pentagone ne sont à la base sans doute pas les plus vulnérables, même s’ils sont critiques. On se rappelle par exemple du vol d’informations sur plus de 20 000 agents du FBI ou de l’attaque contre l’Office of Personnel Management de la Maison Blanche, qui avaient montré que bien des systèmes méritaient ce genre d’attention.

16
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 40

Sommaire de l'article

Introduction

Un très bon plan...

... qui s'est déroulé sans accroc

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 40
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 23

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 25
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 105
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 7

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (16)


MonsieurPixel
Le 15/06/2016 à 12h48

C’est un bon plan tant qu’ils sont les meilleurs payeurs. Le jour où quelqu’un paie davantage qu’eux pour obtenir le détail des failles, ils s’étonneront de ne plus en trouver…


anonyme_6ccafa57ede611669940d1abb50c0f71
Le 15/06/2016 à 12h50

Je ne comprends pas bien. Ils ont sélectionné des gars, et les ont mis dans une salle avec une liste d’IP a testé ?


Jarodd Abonné
Le 15/06/2016 à 12h50


Les États-Unis se privaient ainsi de figures importantes, mais ne souhaitaient visiblement pas prendre trop de risque.


Parce qu’ils les font tester sur la prod ? <img data-src=" />
&nbsp; <img data-src=" />


Mimoza Abonné
Le 15/06/2016 à 12h51

Et vont-il divulguer les faille trouvées (après corrections) ?


WereWindle
Le 15/06/2016 à 12h55






Jarodd a écrit :

Parce qu’ils les font tester sur la prod ? <img data-src=" />
  <img data-src=" />


sans aller jusqu’à taper sur la prod direct, organiser les tests sur une archi qui serait radicalement (voire simplement ‘trop’) différente n’aurait aucune espèce de sens, je pense.



anonyme_69736061fe834a059975aa425bebeb6d
Le 15/06/2016 à 12h57

Et de toute façon , tout système a une redondance (voir multiple)

Donc rien n’empêche de travailler sur une redondance dédié aux tests avant déploiement


LostSoul
Le 15/06/2016 à 13h09

Ce genre de test en Belgique, tous les serveurs de l’Etat seraient ruinés par un del *.* /s …


laurader
Le 15/06/2016 à 13h18

Heureusement que les gens adorent l’argent. Dommage pour les gouvernements qui n’ en ont plus.


Constance Abonné
Le 15/06/2016 à 13h30

Je me posais la même question… mais aussi de savoir si les failles trouvées sont nouvelles et/ou concernent des logiciels grand public, ou bien si par hasard ils ont trouvé des failles non-corrigées pour lesquels des correctifs étaient déjà disponibles


skan
Le 15/06/2016 à 15h37

Après ce vif succès, on annonce déjà une tournée internationale de cet event.
Date à confirmer pour Pékin et Moscou :p


Nerkazoid
Le 15/06/2016 à 15h41

Combien de failles trouvées ont été vendues sur le dark web avant de rendre le rapport au Pentagon? <img data-src=" />


gallean
Le 15/06/2016 à 15h46

kevin mitnick 2 ? ^^


127.0.0.1
Le 15/06/2016 à 22h15


« C’est essentiellement gratuit. Vous avez tous ces talents, ils passent un bon moment et vous obtenez un audit de sécurité gratuitement. C’est vraiment un très bon plan »


Un audit de sécurité dans lequel l’audité choisit les auditeurs et les choses à auditer… Génial.


Nerkazoid
Le 15/06/2016 à 22h52

Ca se passe pas comme ça en entreprise? Elle veut faire faire un audit sur X, fait un appel d’offre et choisie la société Y…. Ou alors j’ai rien compris&nbsp;<img data-src=" />


127.0.0.1
Le 15/06/2016 à 22h57

Ca m’étonnerait que lorsque le DoD va auditer la sécurité chez un sous-traitant, ce soit le sous-traitant qui choisisse qui, quand et quoi.


Nerkazoid
Le 16/06/2016 à 12h26

Effectivement si le DoD sait ce qu’il faut auditer chez le sous-traitant car il a la connaissance de l’environnement, où sont les points faibles… je suis d’accord avec toi <img data-src=" />