La prime aux bogues de la sécurité intérieure révèle un grand nombre de failles
Le résultat d'un programme de primes aux bogues pour le Département de la sécurité intérieure (DHS) a été révélé, et ce n'est pas une nouvelle particulièrement encourageante pour une agence gouvernementale synonyme de cybersécurité.
Les participants au tout premier programme de primes de bogues du DHS, nommé « Hack DHS », ont confirmé avoir trouvé un nombre inquiétant de bogues de sécurité.
Ils ont découvert un total de 122 vulnérabilités de sécurité dans les systèmes DHS externes, selon The Register et Bleeping Computer . Vingt-sept bogues ont été reconnus comme des défauts de « gravité critique ».
L'initiative Hack DHS a vu plus de 450 chercheurs en sécurité participer au programme. Pour leurs efforts, l'agence gouvernementale a versé une récompense totale de 125 600 $ qui a été distribuée aux pirates éthiques.
Comme le souligne à juste titre The Register, le chiffre de paiement susmentionné est dérisoire par rapport à ce que d'autres organisations paient aux chasseurs de primes de bogues.
Par exemple, Intel a déjà offert jusqu'à 100 000 $ pour découvrir avec succès des vulnérabilités spécifiques.
D'autres géants de la technologie comme Microsoft offrent des dizaines de milliers de dollars pour trouver des failles, tandis qu'Apple a payé à un seul individu la quasi-totalité de la prime Hack DHSen lui donnant 100 000 $ pour avoir piraté un Mac .
Google, quant à lui, a accordé près de 30 millions de dollars aux personnes inscrites à ses propres programmes de primes de bogues. Dans un cas particulier, l'entreprise a donné 36 000 $ à un adolescent hacker autodidacte pour avoir signalé un certain bogue.
Compte tenu du fait que l'une des principales responsabilités du Département de la sécurité intérieure concerne la cybersécurité, beaucoup peuvent naturellement s'inquiéter qu'un si grand nombre de bogues de sécurité aient été découverts en premier lieu. De plus, les niveaux de paiement quelque peu ternes associés à Hack DHS pourraient être un moyen de dissuasion potentiel pour les futures parties intéressées.
Tout bien considéré, il semble que le DHS ne soit pas aussi sûr que de nombreux Américains l'auraient espéré.
La quête de la sécurité intérieure pour devenir plus sûre
Hack DHS a été introduit à l'origine en décembre 2021. Tout pirate qui a rejoint le programme devrait fournir une ventilation complète de toute vulnérabilité qu'il trouve. Ils doivent également détailler comment cette faille peut être ciblée et exploitée par des acteurs potentiels de la menace, ainsi qu'expliquer comment elle peut être spécifiquement utilisée pour accéder et extraire des données des systèmes DHS.
Une fois que ces défauts de sécurité sont soumis à un processus de vérification par des « experts en sécurité du DHS », qui prend 48 heures pour être analysés après la détection et la soumission d'un bogue, ils sont généralement corrigés dans les 15 jours environ. Dans certains cas, il faut plus d'un demi-mois à l'agence gouvernementale pour corriger les défauts les plus complexes.
Le programme de primes de bogues de l'agence gouvernementale sera mené via un déploiement à plusieurs niveaux composé de trois étapes. La première phase, les paiements, est terminée, tandis que la deuxième étape à venir verra des chercheurs en sécurité triés sur le volet par le DHS participer à un événement de piratage en direct.
En ce qui concerne la phase finale, The Register rapporte que le DHS partagera des informations qui, espère-t-il, influenceront d'autres programmes de primes de bogues.
La popularité des programmes de primes aux bogues devient de plus en plus importante à une époque où les cybercriminels intensifient leurs tentatives d'infiltration des grandes entreprises, en particulier dans le domaine technologique.
Par exemple, Intel a dévoilé Project Circuit Breaker , une extension de son programme de primes aux bogues qui a été introduit pour recruter des «hackers d'élite». Google a également mis à jour son programme de récompense de vulnérabilité l'année dernière en lançant une nouvelle plateforme de bogues .
Ailleurs, Google a récemment confirmé qu'un nombre record d'exploits zero-day dangereux avaient été identifiés en 2021, alors que les cybercrimes sont plus répandus que jamais .