Quand l’armée américaine incite les hackers à pénétrer ses systèmes d’information

13

Les résultats du programme Hack the Army 3.0 

Le groupe russe à l’origine du piratage Solarwinds ayant lancé une nouvelle série d’offensives contre des agences gouvernementales américaines, les plus hautes institutions du pays sont plus que jamais sous pression pour réussir à contenir la cyber menace.

Pionnier en matière de sécurisation de ses environnements, le Département de l’Armée Américaine lançait en janvier dernier son troisième programme de bug bounty « Hack The Army 3.0 » avec HackerOneincitant les hackers du monde entier, civils et militaires, à tenter de pénétrer ses systèmes d’information.

 L’Armée Américaine présente aujourd’hui les résultats de ce programme, qui aura duré 6 semaines : Au total, 40 hackers éthiques civils et militaires ont découvert 238 vulnérabilités dans un périmètre de 11 actifs de l’Armée US. Sur ce total, 102 vulnérabilités ont été jugées critiques et nécessitant une intervention immédiate.

« Nous sommes convaincus que renouveler ces challenges de sécurité est la clé pour continuer à faire du gouvernement US le chef de file d’une nouvelle génération de sécurisation des systèmes », a déclaré Maya Kuang, chef de produit de l’armée, service numérique de la défense (DDS). « On ne peut plus se permettre de se dire « la prochaine fois, nous ferons mieux ». Je crois fermement qu’une approche proactive est essentielle, cela implique donc de détecter les failles potentielles et de les résoudre avant même qu’elles ne puissent être exploitées. »

« Il est toujours intéressant de tirer les leçons des vulnérabilités détectées par les hackers éthiques« , a déclaré Johann R. Wallace, chef de la division de la conformité, Army Network Enterprise Technology Command. « Le programme Hack the Army a permis de mettre en évidence des erreurs de codage à côté desquelles nos propres équipes étaient passées. Ce n’est pas parce qu’un système est patché qu’il est sûr, et avec un engagement comme Hack the Army nous avons la possibilité de tirer parti d’une expertise supplémentaire pour analyser plus d’actifs, plus rapidement. Et quitte à devoir subir des tests d’intrusion, autant que ce soient des personnes que nous payons et en qui nous pouvons avoir confiance !””

« Les programmes du DoD sont parfaits pour les hackers éthiques qui cherchent à tester de nouveaux outils ou de nouvelles méthodologies pour monter en compétences, tout en contribuant à sécuriser l’une des plus grandes institutions mondiales », a déclaré Corben Leo (@cdl), le meilleur hacker de Hack the Army 3.0, lorsqu’il explique ses motivations à rejoindre le programme.

Pour plus d’informations sur les résultats du programme Hack the Army 3.0 : https://www.hackerone.com/blog/announcing-hack-army-30-results-conversation-defense-digital-service-us-army-and-hack-army-0