Atlantico : Le Pentagone a annoncé au début du mois l'organisation d'un concours de piratage de ses réseaux ouvert à des hackers. Pourquoi une telle initiative ? Qu'est-ce qui la justifie?
Fabrice Epelboin : Le Pentagone organise ce que l’on appelle un “Bug Bounty”: cela consiste à inviter des hackers à identifier des failles de sécurité dans ses technologies, et à les récompenser quand ils en découvrent. Plus la faille trouvée est critique, plus la récompense est élevée. C’est une pratique assez courante chez les géants des technologies aux Etats-Unis, initiée par Netscape dès 1995. Aujourd’hui, la plupart des grands de la Silicon Valley pratiquent le Bug Bounty afin de sécuriser leurs technologies : Yahoo, Microsoft, Google, Facebook, Paypal, IBM, eBay… Mais des entreprises hors du cadre strict des technologies s’y mettent également, tel United Airlines ou General Motors.
Cette approche de la détection de faille de sécurité connait un boom aux Etats-Unis depuis quelques années, car elle se révèle être un complément indispensable à l’approche traditionnelle, le pentesting, qui consiste à mobiliser un ou deux experts durant quelques semaines en leur confiant la mission de découvrir ces même failles. Avec un Bug Bounty, on peut attirer bien plus de monde, et par là même des compétences et des approches bien plus variées, reflétant la diversité que l’on peut trouver du coté des attaquants. Qui plus est, un Bug Bounty peut être ouvert de façon indéfinie, offrant une attention permanente, là où elle n’était que ponctuelle auparavant avec la précédente approche, le pentesting. Enfin, c’est une approche bien plus rationnelle en termes de ROI : plutôt que d’acheter du temps de recherche d’un ou deux experts, on achète directement auprès des experts le résultat de cette recherche.
Le fait que le Pentagone organise son propre Bug Bounty est en quelque sorte la validation ultime de cette approche de la sécurité informatique, qui fait appel à la foule sur le mode du crowdsourcing et de “l’économie collaborative”.
Aux Etats-Unis, c’est une pratique courante, et l’arrivée du Pentagone n’est que l’aboutissement d’un mouvement entammé depuis des années par tous les géants des technologies, alors qu’en Europe, cette approche de la sécurité informatique est apparue plus récemment. Deux plateformes de Bug Bounty on été lancées cette année en France : Yogosha et BountyFactory.
Le fait de faire appel à des hackers, même si une vérification de sécurité aura lieu, ne présente-t-il pas un risque de sécurité précisément ?
Que ce soit pour le Pentagone ou pour une entreprise, c’est une crainte tout à fait légitime, mais si on l’analyse de près, on s’aperçoit vite qu’il n’y a pas lieu d’appréhender ainsi le Bug Bounty. Les hackers ayant des intentions malveillantes attaquent le Pentagone, qu’il y ait ou non un Bug Bounty en cours, et la situation est la même pour n’importe quelle entreprise qui organise un Bug Bounty. L’idée qu’un Bug Bounty attire des hackers mal intentionnés est fantasque : ces hackers “blackhat” sont déjà en train de scruter les technologies des entreprises qu’elles cherchent à attaquer, ils ne vont pas attendre qu’on leur en donne l’autorisation.
Une autre crainte, qui peut sembler fondée, consiste à imaginer qu’un hacker qui découvre une faille sur une technologie soit tenté de la vendre au plus offrant, et donc pas forcément au propriétaire de la technologie qui a mis en place un Bug Bounty. C’est une crainte plus rationnelle, mais qui ne résiste pas à la réalité du “marché” qu’établit une entreprise ou une institution en mettant en place un Bug Bounty : si vous trouvez un “bug” (une faille de sécurité), vous avez en réalité assez peu de temps devant vous pour le vendre à l’organisateur du Bug Bounty et recevoir une récompense, car d’autres “chasseurs de bug” sont également à l’œuvre, et chaque faille n’est payée qu’une seule fois, au premier hacker qui la rapporte. Tenter de vendre ailleurs une faille de sécurité, c’est à coup sûr essayer de vendre quelque chose qui n’aura plus la moindre valeur le temps de trouver un acheteur. Entre temps, les chances sont grandes qu’un autre hacker ait rapporté cette même faille au propriétaire de la technologie à travers son programme de Bug Bounty. Ce dernier l’aura corrigé avant que quiconque ne puisse l’exploiter. Ce constat est d’autant plus implacable que les attaques sophistiquées que redoutent les entreprises, comme les institutions, s’appuient la plupart du temps sur l’exploitation d’une série de failles. Il suffit souvent que l’une d’entre elles soit corrigée pour mettre en échec une attaque en cours.
Pour y voir clair, il faut appréhender un Bug Bounty pour ce qu’il est : la mise à prix par une entreprise des failles de sécurité présentes sur ses technologies. Ces failles ont un prix dans l’absolu, en dehors de tout Bug Bounty, du moins aux yeux de ceux qui savent les utiliser pour mettre au point une attaque malveillante. Le but, dans la mise en place d’un Bug Bounty, est d’impacter ce “marché”, qui existe, quoi qu’il arrive.
Un Bug Bounty peut impacter ce marché de deux façons. D’une part, en mettant un prix élevé pour les failles les plus critiques, susceptibles de causer des dommages conséquents à l’entreprise qui organise son Bug Bounty : c’est ce que font Facebook ou Google, dont les récompenses pour une faille critique découverte sur leurs technologies peuvent être très élevées, et c’est ce que devrait faire toute entreprise dont le risque en termes d’image ou d’espionnage économique est élevé. D’autre part, le Bug Bounty est un marché ouvert, transparent et rapide, contrairement aux circuits de vente de failles de sécurité du coté de la cybercriminalité. La rapidité de la transaction, conjuguée à des mises à prix suceptibles d’attirer un grand nombre de hackers sur un Bug Bounty, fait que le marché des failles de sécurité au sein de la cybercriminalité est court-circuité. Il faut ajuster les prix de façon à attirer une foule en mesure de noyer le camp adverse, dont les moyens, quels qu’ils soient, ne peuvent se comparer avec les communautés de hackers réunies autour des différentes plateformes de Bug Bounty, qui se comptent en milliers, voire en dizaine de milliers.
On voit là toute la subtilité dans la façon de mettre en place un Bug Bounty, et surtout dans le choix des mise à prix, car c’est bien l’entreprise qui décide du prix de ses failles de sécurité. Les prix des failles peuvent, par ailleurs, évoluer avec le temps, de façon à attirer des foules différentes, adaptées aux différentes phases d’un processus de sécurisation. La plupart des plateformes de Bug Bounty emploient des experts aguerris qui maitrisent parfaitement ce sujet, et accompagnent les grands comptes dans la mise en place de leurs Bug Bounties. Mais il faut absolument réfléchir en termes de marché, non pas un marché que l’on crée, mais un marché préexistant, sur lequel on cherche à avoir un effet disruptif, et concevoir un Bug Bounty en ayant cet objectif en tête. Il s’agit bel et bien de disrupter le marché de la cybercriminalité en s’appuyant sur de vastes communauté de “hackers éthiques” qui, Dieu merci, sont en bien plus grand nombre que les cybercriminels.
Peut-on envisager la mise en place d'un tel concours en France par le ministère de la Défense ? À quelles conditions et pour quels résultats ?
Traditionnellement, la France a un temps de retard en ce qui concerne l’innovation, et comme le Pentagone vient de s’y mettre... Ceci dit, c’est tout à fait envisageable, et la France est plutôt bien placée pour faire partie des premières nations européennes à mettre ses institutions au Bug Bounty, du fait que les premières plateformes de Bug Bounty européennes ont été créées en France.
Les conditions seraient très certainement similaires au Bug Bounty organisé par le Pentagone : un périmètre limité dans un premier temps, afin de tester le dispositif, et une sélection de hackers préalablement validés par le ministère de la Défense. On peut tout à fait imaginer étendre par la suite de tels Bug Bounty à d’autres institutions, à commencer par les ministères et les administrations, ainsi qu’aux opérateurs d’importance vitale.
Quant aux résultats, ils seraient sans doute similaires à ceux de n’importe quel Bug Bounty : une liste de failles de sécurité à corriger au plus vite - du moins pour les plus critiques. Pour le moment, le ministère de la Défense, comme les autres ministères et administrations françaises, fait appel à des SSII, qui proposent des campagnes de pentesting pour identifier de telles failles de sécurité, mais l’explosion de la cybercriminalité, sans parler de l’espionnage, montre bien que cette approche n’est pas suffisante, et qu’il devient urgent de la compléter par d’autres. Le Bug Bounty est un complément évident.
Dans le même temps, le Pentagone annonçait au début du mois le recrutement du président d'Alphabet (Google) en tant que conseiller en matière d'innovation. Qu'est-ce que cela révèle des liens entre gouvernement et acteurs du numérique (qui plus est dans le contexte actuel tendu entre Apple et le FBI) ? Quel gain pour le Pentagone ?
La porosité entre les GAFAM avec les services de renseignement n’est pas une nouveauté : c’était tout l’objet de l’affaire Prism, le premier volet des révélations d’Edward Snowden. Mais ces derniers temps, on observe des éléments visibles de première importance. Au moment où Apple occupe le devant de l’actualité avec son bras de fer qui l’oppose au gouvernement américain, Google semble effectuer la démarche inverse, celle de la coopération.
Google possède non seulement un outil de surveillance des populations que le Pentagone et la NSA ne peuvent qu’envier, mais ils sont, qui plus est, la clé de l’accès aux savoirs et à l’information un peu partout dans le monde. En Europe, 95% des recherches sur Internet sont faite à travers Google, ce qui leur donne la possibilité non seulement de contrôler ce à quoi les Européens ont accès en termes d’information, mais également de savoir ce qu’ils cherchent à tout moment.
Si Google venait à être instrumentalisé à des fins politique ou militaires, cela serait un outil d’influence incroyable, et un outil de surveillance omniscient. Il est assez naturel que le Pentagone s’y intéresse, et pas si surprenant que Google réponde à sa demande - après tout, la firme de Mountain View a abandonné récemment son slogan “Don’t be Evil”. Mais pour le moment, la collaboration de Google avec le Pentagone ne concerne que la gestion de l’innovation, du moins officiellement.
Le Pentagone a tout à gagner à une telle collaboration. Il est évident qu’une personnalité comme Eric Smith a beaucoup à apporter à des militaires en termes de gestion de l’innovation, même si pour ce qui est d’innover, le Pentagone n’est pas en reste.
L’arrivée concomitante de l’un des dirigeants historique de Google au Pentagone et du lancement par ce dernier d’un Bug Bounty montre de façon indiscutable une brusque accélération de l’innovation du coté des institutions américaines, en particulier au sein de l’armée.
D'une manière générale, comment interpréter ces ouvertures de La Défense vers l'extérieur ? Cela ne traduit-il pas un certain aveu de faiblesse ?
Avec une augmentation de +30% au niveau mondial et +50% en France, il est difficile de ne pas dresser un constat d’échec face à l’insécurité sur Internet. D’ailleurs, le CGHQ, l’équivalent anglais de la NSA, a récemment fait des déclarations en ce sens. La cybercriminalité augmente de façon considérable, et ni la NSA, ni le Pentagone ou qui que ce soit, n’ont pu enrayer le phénomène. Il faut dire qu’ils en sont en partie responsables.
La surveillance de masse initiée par les Etats-Unis dès le lendemain du 11 septembre 2001 repose en large partie sur l’introduction volontaire par la NSA et ses alliés, de multiples failles de sécurité dans les technologies utilisées partout dans le monde par les Etats, les entreprises et les particuliers. Cela a créé un territoire d’opportunités pour une multitude d’organisations cyber-criminelles, dont les gains sont désormais comparables, si ce n’est supérieurs, à ceux des trafiquants de drogue. Car le temps où les entreprises et les Etats faisaient face à un hacker “blackhat” isolé est derrière nous. Aujourd’hui, la menace est tout autre: il s’agit de véritables groupes mafieux, très bien organisés, avec de larges équipes aux talents multiples, disposant de beaucoup de temps et de financements.
Ces mafias agissent pour leur propre compte et détroussent les entreprises, ou les espionnent pour le compte de leurs concurrents. Face à une telle menace, le Bug Bounty est une réponse appropriée : faire appel à une foule de hackers éthiques ayant les mêmes compétences que les cyber-mafias, mais à même d’aider les organisateurs de Bug Bounty. Bon nombre d’entreprises l’ont bien compris.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !