L'armée américaine paye des hackers pour pirater ses sites

Mercredi dernier sur les coups de midi, 500 hackers ont commencé à attaquer les sites de recrutement de l'armée américaine, qui contiennent notamment les informations personnelles des nouvelles recrues et des soldats actuellement en poste. Ils vont passer les trois prochaines semaines à attaquer ces sites afin de découvrir des failles inconnues du système. En échange, les plus malins pourront gagner « des dizaines de milliers de dollars » dans le cadre d'un programme appelé « Hack the U.S. Army [Pirater l'armée américaine] ».

Demander à des hackers d'identifier des failles n'est pas un phénomène nouveau. Les programmes dits de « bug bounty » sont de rigueur chez les géants de la Silicon Valley comme Facebook, Microsoft, et récemment Apple, qui font appel aux hackers pour trouver des brèches que les développeurs maison ne trouveraient jamais. Mais c'est une démarche nouvelle pour l'armée américaine, et personne ne sait vraiment comment cela va se passer.

« L'armée fait appel à un groupe de chercheurs qui sont entrainés pour s'introduire dans les réseaux informatiques dans lesquels ils ne devraient pas tenter d'accéder. Nous faisons donc appel à des gens auxquels on aurait essayé d'échapper, » a annoncé Eric Fanning, le secrétaire de l'armée, lors du lancement du programme.

We're offering $ to hackers who find vulnerabilities in select Army sites | Register for 'Hack the Army' bug bounty: — Eric Fanning (@SECARMY)November 21, 2016

Hack the Army est la dernière extension d'un programme lancé en début d'année, appelé Hack the Pentagon, qui s'est tenu en avril et en mai. 1 400 hackers avaient réussi à découvrir 138 failles et le département de la Défense avait distribué 71 200 dollars aux hackers. Le coût total du programme était de 150 000 dollars, alors que cela aurait coûté un million de dollars de faire appel à une entreprise pour mener une évaluation semblable de la sécurité du Pentagone.

Puisque cette première version du programme a été un succès, le département de la Défense a accepté que les sites de l'armée subissent aussi ce traitement. En revanche, cette fois-ci, les hackers ne vont pas seulement viser des sites Internet statiques, mais aussi des parties « indispensables » des infrastructures de l'armée.

Deux entreprises de sécurité privée ont été engagées pour mener ces programmes. HackerOne et Synack ont signé le mois dernier un contrat de 7 millions de dollars avec le gouvernement pour organiser 14 programmes semblables sur diverses propriétés digitales du gouvernement au cours des prochaines années.

Alex Rice, le directeur technique d'HackerOne et ancien chef de la sécurité chez Facebook, estime que le programme inaugural a été « un incroyable succès », ajoutant que faire appel à des hackers est un bon moyen d'améliorer la sécurité de vos plateformes.

« Peu importent vos adversaires, votre sécurité s'améliore en demandant à la communauté amicale des hackers de jouer une sorte de jeu de rôle avec vous et d'identifier des failles que vous auriez oubliées, » explique Rice à VICE News.

Une semaine avant le début d'Hack the Army, la marine américaine avait révélé que les informations personnelles et les numéros de sécurité sociale de 134 386 anciens et actuels soldats ont été compromis quand des hackers se sont introduits dans l'ordinateur d'un contractuel de la marine. Avant cela, le gouvernement a été la cible de plusieurs attaques embarrassantes, dont le vol de 20 millions de dossiers personnels compilés au Bureau de gestion du personnel, sans parler du piratage du serveur du comité national du parti démocrate en octobre dernier.

Les hackers impliqués dans Hack the Army n'auront pas accès aux systèmes essentiels, comme le programme de navigation des drones ou les réseaux de communication de l'armée. Mais travailler avec des hackers implique certains risques.

« Ce n'est pas toujours simple de savoir avec qui vous traitez. Vous ne savez pas si vous travaillez avec un type avec de bonnes intentions ou non, » expliquait l'année dernière, Gus Anagnos, l'ancien patron des programmes de « bug bounty » de PayPal, qui travaille désormais pour Synack.

Le Département de la Défense espère limiter les risques en faisant uniquement appel à des hackers qui sont éligibles pour travailler aux États-Unis et qui ont passé des vérifications d'usage. Mais certains membres de l'industrie estiment que ces précautions reviennent à se priver des meilleurs hackers. En effet, les plus talentueux d'entre eux ne voudraient pas se soumettre à ces vérifications.

De plus, si des hackers qui ne participent pas au programme (ne s'étant pas soumis aux vérifications) trouvent des failles, ils vont certainement vouloir une récompense. Et nombre d'acteurs peu scrupuleux seraient prêts à payer en l'échange d'une faille dans un site du gouvernement.

Autre problème potentiel, si le programme ne fonctionne pas correctement, les hackers pourraient passer du côté obscur. C'est ce qui était arrivé à Facebook en 2013 quand un hacker a essayé d'alerter l'entreprise sur une faille lors de son programme de « bug bounty ». L'entreprise avait refusé cette contribution et le hacker s'était vengé en piratant la page Facebook de Mark Zuckerberg.

Mais le gouvernement a au moins l'audace d'essayer, et lancer un tel programme prouve sa volonté de changer d'attitude.

« Ce qui a changé, c'est la volonté du gouvernement à vous laisser nous hacker, » déclarait en avril, Lisa Wiswell du bureau de défense numérique du département de la Défense. « Nombre d'acteurs gouvernementaux sont bien plus humbles par rapport à ça que dans le passé. Ils sont prêts à reconnaître que nous avons besoin d'aide. »

Suivez VICE News sur Twitter : @vicenewsFR

Likez la page de VICE News sur Facebook : VICE News FR