Cyberguerre : l’armée américaine présente les résultats de son bug bounty Hack the Army 3.0
jeu, 10/06/2021 - 15:47
Le Département de l’Armée Américaine lançait en janvier dernier son troisième programme de bug bounty « Hack The Army 3.0 » avec HackerOne, incitant les hackers du monde entier, civils et militaires, à tenter de pénétrer ses systèmes d’information.
L’Armée Américaine présente aujourd’hui les résultats de ce programme, qui aura duré 6 semaines : Au total, 40 hackers éthiques civils et militaires ont découvert 238 vulnérabilités dans un périmètre de 11 actifs de l’Armée US. Sur ce total, 102 vulnérabilités ont été jugées critiques et nécessitant une intervention immédiate.
"Nous sommes convaincus que renouveler ces challenges de sécurité est la clé pour continuer à faire du gouvernement US le chef de file d’une nouvelle génération de sécurisation des systèmes", a déclaré Maya Kuang, chef de produit de l'armée, service numérique de la défense (DDS). "On ne peut plus se permettre de se dire "la prochaine fois, nous ferons mieux". Je crois fermement qu'une approche proactive est essentielle, cela implique donc de détecter les failles potentielles et de les résoudre avant même qu’elles ne puissent être exploitées."
"Il est toujours intéressant de tirer les leçons des vulnérabilités détectées par les hackers éthiques", a déclaré Johann R. Wallace, chef de la division de la conformité, Army Network Enterprise Technology Command. "Le programme Hack the Army a permis de mettre en évidence des erreurs de codage à côté desquelles nos propres équipes étaient passées. Ce n'est pas parce qu'un système est patché qu'il est sûr, et avec un engagement comme Hack the Army nous avons la possibilité de tirer parti d'une expertise supplémentaire pour analyser plus d'actifs, plus rapidement. Et quitte à devoir subir des tests d’intrusion, autant que ce soient des personnes que nous payons et en qui nous pouvons avoir confiance !””
Plus d'informations sur les résultats du programme Hack the Army 3.0 sur le blog HackeOne
Commentaires
Les bug bounty c'est très à la mode... Ou comment éviter de financer des tests d'intrusion ! Tout le monde travaille gratuitement! Seule une partie des participants arrivent à se faire rémunérer.