Le ministère de la Défense du Royaume-Uni se tourne vers les pirates pour sécuriser les actifs numériques

Le ministère britannique de la Défense (MoD) a conclu son tout premier défi de bug bounty avec la plate-forme de sécurité HackerOne, en s’appuyant sur son engagement à développer une culture de collaboration autour de la cybersécurité.

Les programmes de bug bounty, par lesquels les pirates signalent les vulnérabilités de sécurité du monde réel aux organisations affectées en échange d’une compensation monétaire, sont utilisés dans tout l’industrie comme un moyen d’encourager la recherche sur la sécurité et d’identifier les problèmes avant que les adversaires aient une chance de les exploiter.

Au cours du défi de 30 jours, le ministère de la Défense a invité les pirates à enquêter sur les vulnérabilités de ses actifs numériques en leur donnant un accès direct à ses systèmes internes, ce qui a été fait dans le but d’aider le ministère de la Défense à les sécuriser et à les défendre contre les cyberattaques.

Ce défi fait suite à la publication par le gouvernement britannique de son examen intégré de la sécurité, de la défense, du développement et de la politique étrangère en mars, dans lequel il a souligné la nécessité d’une capacité et d’une résilience accrues pour faire face aux cybermenaces, en particulier contre les infrastructures nationales critiques (CNI).

« Le ministère de la Défense a adopté une stratégie de sécurisation par conception, la transparence faisant partie intégrante de l’identification des domaines à améliorer dans le processus de développement », a déclaré Christine Maxwell, responsable de la sécurité de l’information (RSSI) au ministère de la Défense.

« Il est important pour nous de continuer à repousser les limites avec notre développement numérique et cybernétique afin d’attirer du personnel doté de compétences, d’énergie et d’engagement. Travailler avec la communauté du piratage éthique nous permet de construire notre banc de talents technologiques et d’apporter des perspectives plus diversifiées pour protéger et défendre nos actifs.

« Comprendre où se trouvent nos vulnérabilités et travailler avec l’ensemble de la communauté du piratage éthique pour les identifier et les corriger est une étape essentielle pour réduire les cyberrisques et améliorer la résilience. »

Dans l’examen intégré, le gouvernement a également appelé à une plus grande collaboration entre les différents acteurs et a averti qu’il devrait « gérer les tensions et les compromis inévitables », tels que ceux entre « notre ouverture et la nécessité de protéger notre peuple, notre économie et notre mode de vie grâce à des mesures qui augmentent notre sécurité et notre résilience ».

Le ministère de la Défense affirme que le défi avec HackerOne fait partie d’un engagement à l’échelle de l’organisation à construire une culture de transparence et d’ouverture.

Trevor Shingles, l’un des 26 pirates impliqués, a déclaré: « Que le ministère de la Défense soit aussi ouvert qu’il l’a fait en fournissant un accès autorisé à leurs systèmes est un véritable témoignage qu’ils adoptent tous les outils à leur disposition pour vraiment durcir et sécuriser leurs applications.

« Il a été prouvé qu’une approche fermée et secrète de la sécurité ne fonctionne pas bien… C’est un excellent exemple à donner non seulement au Royaume-Uni, mais aussi à d’autres pays pour comparer leurs propres pratiques de sécurité.

Selon Shingles, il a été en mesure d’identifier un problème de contournement de l’authentification pendant le défi, ce qui a conduit à son signalement réussi d’une mauvaise configuration OAuth qui aurait permis aux adversaires de modifier les autorisations et d’accéder: « Au lieu de cela, [I] a été en mesure d’aider le ministère de la Défense à réparer et à sécuriser.

La collaboration avec HackerOne – qui travaille également avec le département américain de la Défense, l’armée américaine et l’armée de l’air américaine pour sécuriser leurs logiciels – aidera également le ministère de la Défense à s’aligner plus étroitement sur ses alliés aux États-Unis.

Selon marten Mickos, PDG de HackerOne, les gouvernements du monde entier prennent conscience du fait qu’ils ne peuvent plus sécuriser leurs vastes environnements numériques avec des outils de sécurité traditionnels.

« Avoir un processus formalisé pour accepter les vulnérabilités de tiers est largement considéré comme une meilleure pratique à l’échelle mondiale, le gouvernement américain le rendant obligatoire pour ses agences civiles fédérales cette année », a-t-il déclaré.

« Le ministère de la Défense du Royaume-Uni ouvre la voie au sein du gouvernement britannique avec des solutions avant-gardistes et collaboratives pour sécuriser ses actifs numériques, et je prédis que nous verrons davantage d’agences gouvernementales suivre son exemple. »

En décembre 2020, le ministère de la Défense a publié des directives sur la façon dont les pirates pourraient signaler des vulnérabilités dans ses systèmes ou services, mais a déclaré qu’il n’offrirait pas de récompenses monétaires pour les divulgations de vulnérabilités. Les pirates prenant part au défi bug bounty ont été, cependant, indemnisés pour leurs divulgations, bien que les montants sont inconnus.

En mars 2021, le rapport annuel Hacker De HackerOne a constaté que le nombre de pirates informatiques de chapeau blanc signalant des bogues ou des vulnérabilités aux entreprises a augmenté de 63% en 2020, et de 143% depuis 2018, démontrant que les pirates et les équipes de sécurité informatique travaillent ensemble beaucoup plus fréquemment pour gérer les cybermenaces.

Elle a également révélé que plus du tiers (38 %) de les pirates ont passé plus de temps à pirater depuis le début de la pandémie, de nombreuses personnes se concentrent sur les menaces émergentes qui ont surgi du passage au travail à distance et des transformations numériques qui en découlent pour les organisations.