Cyberguerres : l’armée américaine collabore avec des hackers civiles

janvier 2021 par le Defense Digital Service (DDS), HackerOne

Le piratage de l’entreprise SolarWinds dont le très haut niveau de complexité de la cyberattaque fait penser à une attaque soutenue par un gouvernement et qui a par ailleurs permis de toucher de nombreuses agences gouvernementales américaines comme le trésor américain et le département du Commerce à intervalles différents confirme que – conformément aux prédictions de l’ANSSI début 2019 - nous sommes effectivement entrés dans l’ère des cyberguerres.

L’armée américaine est l’une des pionnières en matière de sécurisation de ses environnements et des systèmes de ses partenaires.

Elle collabore ainsi régulièrement avec HackerOne, leader mondial de la sécurité collaborative et du test d’intrusion, incitant les hackers du monde entier à tenter de pénétrer ses systèmes d’information.

C’est dans ce contexte que le Defense Digital Service (DDS) et HackerOne lancent aujourd’hui le 11e programme de bug bounty du DDS en partenariat avec HackerOne et le 3e avec le Département de l’Armée américaine. « Hack the Army 3.0 » est un challenge de sécurité limité dans le temps administré par des hackers éthiques qui ont pour objectif de détecter les vulnérabilités critiques afin de les résoudre avant qu’elles ne soient exploitées par des cyber délinquants. Le programme de bug bounty est ouvert aux participants (militaires et civils) et se déroulera du 6 janvier 2021 au 17 février 2021.

Lors de la deuxième édition de « Hack the Army » en fin d’année 2019, les hackers avaient remporté plus de 275 000 dollars de récompense pour avoir découvert plus de 145 vulnérabilités de sécurité. Au total, 52 hackers éthiques ont participé au 9e programme de bug bounty mené par HackerOne avec le Ministère de la Défense Américaine.

En partenariat avec le Defense Digital Service (DDS), HackerOne a lancé plus de programmes fédéraux que tout autre fournisseur de services de sécurité piratés et est la seule plateforme de primes de bugs autorisée par le FedRAMP. Lors des éditions précédentes, les hackers ont pu mettre à profit leurs compétences pour différentes entités publiques de la défense américaine et qui ne sont pas des moindres, telles que le Pentagone, l’armée de l’air, le système de voyage de la défense, l’armée de terre, le proxy de l’armée ou encore le corps de la Marine. La DDS avait déjà lancé un programme de divulgation des vulnérabilités pour le Département de la défense en 2016, qui est maintenant l’un des programmes les plus réussis, avec plus de 20 000 vulnérabilités de sécurité dévoilées par les hackers à ce jour.