Atlantico, c'est qui? c'est quoi ?
Mardi 06 Décembre 2016 | Créer un compte | Connexion
Extra

Quand le Pentagone recrute le directeur de Google et s’offre les services de hackers pour pirater son propre réseau

Au début du mois de mars, le Pentagone annonçait le recrutement d'un des dirigeants historiques de Google, ainsi que le lancement d'un Bug Bounty. Deux annonces qui témoignent de la rapide accélération de l’innovation au niveau de l'armée américaine et des enjeux de sécurité criminalité auxquels les gouvernements sont confrontés.

C'est le monde à l'envers

Publié le
Quand le Pentagone recrute le directeur de Google et s’offre les services de hackers pour pirater son propre réseau

Atlantico : Le Pentagone a annoncé au début du mois l'organisation d'un concours de piratage de ses réseaux ouvert à des hackers. Pourquoi une telle initiative ? Qu'est-ce qui la justifie?

Fabrice Epelboin : Le Pentagone organise ce que l’on appelle un “Bug Bounty”: cela consiste à inviter des hackers à identifier des failles de sécurité dans ses technologies, et à les récompenser quand ils en découvrent. Plus la faille trouvée est critique, plus la récompense est élevée. C’est une pratique assez courante chez les géants des technologies aux Etats-Unis, initiée par Netscape dès 1995.

Aujourd’hui, la plupart des grands de la Silicon Valley pratiquent le Bug Bounty afin de sécuriser leurs technologies : Yahoo, Microsoft, Google, Facebook, Paypal, IBM, eBay… Mais des entreprises hors du cadre strict des technologies s’y mettent également, tel United Airlines ou General Motors.

Cette approche de la détection de faille de sécurité connait un boom aux Etats-Unis depuis quelques années, car elle se révèle être un complément indispensable à l’approche traditionnelle, le pentesting, qui consiste à mobiliser un ou deux experts durant quelques semaines en leur confiant la mission de découvrir ces même failles. Avec un Bug Bounty, on peut attirer bien plus de monde, et par là même des compétences et des approches bien plus variées, reflétant la diversité que l’on peut trouver du coté des attaquants. Qui plus est, un Bug Bounty peut être ouvert de façon indéfinie, offrant une attention permanente, là où elle n’était que ponctuelle auparavant avec la précédente approche, le pentesting. Enfin, c’est une approche bien plus rationnelle en termes de ROI : plutôt que d’acheter du temps de recherche d’un ou deux experts, on achète directement auprès des experts le résultat de cette recherche.

Le fait que le Pentagone organise son propre Bug Bounty est en quelque sorte la validation ultime de cette approche de la sécurité informatique, qui fait appel à la foule sur le mode du crowdsourcing et de “l’économie collaborative”

Aux Etats-Unis, c’est une pratique courante, et l’arrivée du Pentagone n’est que l’aboutissement d’un mouvement entammé depuis des années par tous les géants des technologies, alors qu’en Europe, cette approche de la sécurité informatique est apparue plus récemment. Deux plateformes de Bug Bounty on été lancées cette année en France :  Yogosha et BountyFactory.

Le fait de faire appel à des hackers, même si une vérification de sécurité aura lieu, ne présente-t-il pas un risque de sécurité précisément ?

Que ce soit pour le Pentagone ou pour une entreprise, c’est une crainte tout à fait légitime, mais si on l’analyse de près, on s’aperçoit vite qu’il n’y a pas lieu d’appréhender ainsi le Bug Bounty. Les hackers ayant des intentions malveillantes attaquent le Pentagone, qu’il y ait ou non un Bug Bounty en cours, et la situation est la même pour n’importe quelle entreprise qui organise un Bug Bounty. L’idée qu’un Bug Bounty attire des hackers mal intentionnés est fantasque : ces hackers “blackhat” sont déjà en train de scruter les technologies des entreprises qu’elles cherchent à attaquer, ils ne vont pas attendre qu’on leur en donne l’autorisation.

Une autre crainte, qui peut sembler fondée, consiste à imaginer qu’un hacker qui découvre une faille sur une technologie soit tenté de la vendre au plus offrant, et donc pas forcément au propriétaire de la technologie qui a mis en place un Bug Bounty. C’est une crainte plus rationnelle, mais qui ne résiste pas à la réalité du “marché” qu’établit une entreprise ou une institution en mettant en place un Bug Bounty : si vous trouvez un “bug” (une faille de sécurité), vous avez en réalité assez peu de temps devant vous pour le vendre à l’organisateur du Bug Bounty et recevoir une récompense, car d’autres “chasseurs de bug” sont également à l’œuvre, et chaque faille n’est payée qu’une seule fois, au premier hacker qui la rapporte. Tenter de vendre ailleurs une faille de sécurité, c’est à coup sûr essayer de vendre quelque chose qui n’aura plus la moindre valeur le temps de trouver un acheteur. Entre temps, les chances sont grandes qu’un autre hacker ait rapporté cette même faille au propriétaire de la technologie à travers son programme de Bug Bounty. Ce dernier l’aura corrigé avant que quiconque ne puisse l’exploiter. Ce constat est d’autant plus implacable que les attaques sophistiquées que redoutent les entreprises, comme les institutions, s’appuient la plupart du temps sur l’exploitation d’une série de failles. Il suffit souvent que l’une d’entre elles soit corrigée pour mettre en échec une attaque en cours.

Pour y voir clair, il faut appréhender un Bug Bounty pour ce qu’il est : la mise à prix par une entreprise des failles de sécurité présentes sur ses technologies. Ces failles ont un prix dans l’absolu, en dehors de tout Bug Bounty, du moins aux yeux de ceux qui savent les utiliser pour mettre au point une attaque malveillante. Le but, dans la mise en place d’un Bug Bounty, est d’impacter ce “marché”, qui existe, quoi qu’il arrive.

Un Bug Bounty peut impacter ce marché de deux façons. D’une part, en mettant un prix élevé pour les failles les plus critiques, susceptibles de causer des dommages conséquents à l’entreprise qui organise son Bug Bounty : c’est ce que font Facebook ou Google, dont les récompenses pour une faille critique découverte sur leurs technologies peuvent être très élevées, et c’est ce que devrait faire toute entreprise dont le risque en termes d’image ou d’espionnage économique est élevé. D’autre part, le Bug Bounty est un marché ouvert, transparent et rapide, contrairement aux circuits de vente de failles de sécurité du coté de la cybercriminalité. La rapidité de la transaction, conjuguée à des mises à prix suceptibles d’attirer un grand nombre de hackers sur un Bug Bounty, fait que le marché des failles de sécurité au sein de la cybercriminalité est court-circuité. Il faut ajuster les prix de façon à attirer une foule en mesure de noyer le camp adverse, dont les moyens, quels qu’ils soient, ne peuvent se comparer avec les communautés de hackers réunies autour des différentes plateformes de Bug Bounty, qui se comptent en milliers, voire en dizaine de milliers.

On voit là toute la subtilité dans la façon de mettre en place un Bug Bounty, et surtout dans le choix des mise à prix, car c’est bien l’entreprise qui décide du prix de ses failles de sécurité. Les prix des failles peuvent, par ailleurs, évoluer avec le temps, de façon à attirer des foules différentes, adaptées aux différentes phases d’un processus de sécurisation. La plupart des plateformes de Bug Bounty emploient des experts aguerris qui maitrisent parfaitement ce sujet, et accompagnent les grands comptes dans la mise en place de leurs Bug Bounties. Mais il faut absolument réfléchir en termes de marché, non pas un marché que l’on crée, mais un marché préexistant, sur lequel on cherche à avoir un effet disruptif, et concevoir un Bug Bounty en ayant cet objectif en tête. Il s’agit bel et bien de disrupter le marché de la cybercriminalité en s’appuyant sur de vastes communauté de “hackers éthiques” qui, Dieu merci, sont en bien plus grand nombre que les cybercriminels.

Peut-on envisager la mise en place d'un tel concours en France par le ministère de la Défense ? À quelles conditions et pour quels résultats ?

Traditionnellement, la France a un temps de retard en ce qui concerne l’innovation, et comme le Pentagone vient de s’y mettre... Ceci dit, c’est tout à fait envisageable, et la France est plutôt bien placée pour faire partie des premières nations européennes à mettre ses institutions au Bug Bounty, du fait que les premières plateformes de Bug Bounty européennes ont été créées en France.

Les conditions seraient très certainement similaires au Bug Bounty organisé par le Pentagone : un périmètre limité dans un premier temps, afin de tester le dispositif, et une sélection de hackers préalablement validés par le ministère de la Défense. On peut tout à fait imaginer étendre par la suite de tels Bug Bounty à d’autres institutions, à commencer par les ministères et les administrations, ainsi qu’aux opérateurs d’importance vitale.

Quant aux résultats, ils seraient sans doute similaires à ceux de n’importe quel Bug Bounty : une liste de failles de sécurité à corriger au plus vite - du moins pour les plus critiques. Pour le moment, le ministère de la Défense, comme les autres ministères et administrations françaises, fait appel à des SSII, qui proposent des campagnes de pentesting pour identifier de telles failles de sécurité, mais l’explosion de la cybercriminalité, sans parler de l’espionnage, montre bien que cette approche n’est pas suffisante, et qu’il devient urgent de la compléter par d’autres. Le Bug Bounty est un complément évident.

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio en entier

Je m'abonne
à partir de 4,90€