L’armée américaine a partagé les résultats de son premier Bug Bounty, nommé « Hack The Army » qui s’est déroulé pendant 3 semaines. Ce concours avait débuté le 21 décembre dernier et constituait le second programme gouvernemental de ce type, après celui visant le Pentagone.
Et le moins que l’on puisse dire est que cette chasse aux bugs a été prolifique. L’armée américaine a reçu plus de 400 rapports de bugs dont 118 étaient uniques et opérationnelles. Les participants ayant trouvé ces derniers bugs, ont été récompensés à hauteur de 100 000 dollars. L’US Army a rappelé que 371 personnes ont participé au Bug Bounty dont 25 employés gouvernementaux et 17 provenant des rangs de la Grande Muette.
Pourtant, elle a partagé des détails sur deux vulnérabilités sur le site goarmy.com. Combinées, ces deux failles peuvent ouvrir l’accès, sans authentification, à un site interne du ministère de la Défense. « Ils sont arrivés par un proxy ouvert, ce qui signifie que le routage n’avait pas été verrouillé comme il aurait dû l’être et un des chercheurs sans même le savoir, a pu accéder à ce réseau interne », explique l’armée dans un message publié sur HackerOne, hébergeur du bug bounty. Elle ajoute : « En soi, les vulnérabilités ne sont pas particulièrement intéressantes, mais quand elles sont combinées, cela devient vraiment très grave. » Bien évidemment ces deux brèches ont été colmatées rapidement après leurs découvertes.
Le message se poursuit en vantant l’importance des personnes qualifiées pour la recherche de bugs, plutôt que de confier cette tâche à des systèmes d’automatisation pour éliminer les vulnérabilités. Et cette recherche doit faire appel à un public plus large que les simples militaires ou les agents gouvernementaux. L’ancien secrétaire de l’Armée, Eric Fanning, expliquait en novembre dernier lors de la présentation de Hack The Army que « l’Armée doit tendre la main aux groupes technologiques et aux chercheurs aguerris à la pénétration des réseaux informatiques normalement interdits d’accès. Habituellement, nous aurions évité ce genre de personnes ».
La réussite de ce second programme pourrait donner des idées à d’autres administrations américaines. Il reste à savoir qu’elle sera la stratégie de la nouvelle administration de Donald Trump en la matière. A suivre…
A lire aussi :
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…