Spécialistes de la cyber-défense: et si on engageait des pirates?

Spécialistes de la cyber-Défense: Et si on engageait des pirates?
3 images
Spécialistes de la cyber-Défense: Et si on engageait des pirates? - © SAUL LOEB - AFP

La technique n’est pas neuve, mais c’est la première fois que le Pentagone fait usage de cette procédure d’engagement de "hackers". Une pratique connue sous le nom de Bug Bounty. En Belgique, les techniques d'engagement des profils "cyber" est plus traditionnelle, mais de nouvelles pratiques de recrutement commencent à voir le jour. 

C’est tout le paradoxe de cette armée américaine, la plus puissante du monde, dont le système de cyber-défense se révèle particulièrement fragile.

Et ce n’est pas neuf. En 2013, des hackers chinois avaient piraté les systèmes informatiques du Pentagone. Des systèmes importants, puisqu’ils stockaient des plans d’avions et de missiles. Plus près de nous, en août 2015, c’est la Russie qui semblait derrière une cyber- intrusion dans les comptes de 4000 militaires gradés.

Le Pentagone (le quartier général de la Défense américaine) a donc décidé de prendre les choses en mains en lançant une campagne de recrutement très originale.

Bug Bounty : venez hacker notre système

Désormais, la sélection se fait par une compétition baptisée "Hack The Pentagon" (Piratez les Pentagone). Le défi lancé aux candidats consiste à pénétrer dans les serveurs de l’Armée US. Cette compétition annoncée par le département de la défense au début du mois de mars, débutera en avril.

On appelle cela un Bug Bounty, un programme de recherche de failles. Pour le Pentagone, l’avantage est double: engager les meilleurs hackers et -en prime- faire tester, gratuitement, la robustesse de ses infrastructures informatiques.

Des candidatures très filtrées

Mais ne pirate pas le Pentagone qui veut. La crainte est bien entendu d’attirer les "Blacks Hats", les pirates malveillants, alors que l’armée US veut engager des "White Hats", le pirates qui recherchent les vulnérabilités pour en avertir les entreprises fragilisées.

Pour s’inscrire à la compétition, il faut d’abord être américain. Ensuite, le profil sera contrôlé par le Département américain de la Défense. Le candidat devra présenter un "comportement sain" sous peine de se faire interdire la compétition. Enfin, chaque candidat retenu (le Pentagone en espère des milliers), recevra un secteur précis du système informatique du Pentagone à tester. Les serveurs ainsi donnés en pâture aux pirates d’un jour ne sont évidemment pas les plus sensibles. Ce seront des systèmes largement exposés sur les réseaux publics. Des récompenses financières pourraient être attribuées aux hackers méritants, mais le but du programme est, avant tout, de recruter des experts en cyber-défence. Des vrais.

20 ans de Bug Bounty

Bien sûr, le Pentagone dispose déjà spécialistes, connus sous le nom de Red Teams et dont le métier est de tester les réseaux en permanence. Le service de recrutement -le selor militaire américain- se nomme le Defense Digital Service (DDS). Un club très fermé qui est –il n’y a pas de hasard- dirigé par une ancien de Microsoft. Il a lui-même recruté des spécialistes de Google ou Spotify. Eric Schmidt, qui était arrivé chez Google pour transformer la bande d’informaticiens en un entreprise rentable, devrait bientôt faire son entrée au Pentagone pour diriger le nouveau comité du département de la Défense. La nouvelle recrue de luxe a déclaré à l’agence Reuter qu’il veut réduire le " fossé " qui s’est créé entre l’armée américaine et l’industrie de la technologie.

Une situation assez logique lorsque l’on constate que Google, Microsoft et d’autres pratiquent déjà le recrutement par Bug Bounty. Le concept avait été lancé par le navigateur Netscape en 1995. Si bien qu’il existe aujourd’hui des plates-formes de recrutement spécialisées dans ce type de concours. Les plus connues sont HackerOne ou BugCrowd. Et cela a déjà fait des émules en France où une Bounty Factory permet à des spécialistes de la sécurité de pister et dénicher les vulnérabilités à la demande d’entreprises. United Airlines et General Motors sont clients de ce type de services et Microsoft, lors de son programme de sélection Bug Bounty 2015 a versé près d’un million de dollars à 210 chercheurs en sécurité méritants.

Le Renseignement belge fait confiance aux procédures traditionnelles

Chez nous, la situation est plus conventionnelle. A la Computer Crime Unit de la police, le recrutement se fait par procédure interne au grade "d’inspecteur principal avec facultés particulières ". En septembre dernier, La CCU de la police fédérale lançait le recrutement de 30 trente collaborateurs spécialisés dans le domaine des technologies de l'information et de la communication. Si le cœur vous en dit, allez sur le site de Jobpol. Il y aura sans doute des recrutements prochainement.

Si l’on se tourne vers la Sûreté de l’Etat, (le Renseignement civil), C’est la bonne vieille sélection par le Selor qui gère la réserve de recrutement. Mais la Sûreté peut participer à la fixation des critères de sélection pour mieux affiner le type de profil à rechercher.

Enfin la Défense nationale (le Renseignement militaire), a organisé en 2014 un exercice ouvert aux militaires et civils travaillant pour la Défense. Elle a ainsi recruté 10 cyber-experts. En juin dernier, Le service de renseignement de l’armée entamait le recrutement de 24 spécialistes en cyber-sécurité pour renforcer sa capacité à combattre les menaces pour le Service général du renseignement et de la sécurité (SGRS). La filière utilisée était celle du Selor. Les candidats retenus seront affectés au "Cyber Security Operations Center" (CSOC) du SGRS et principalement chargés de sécuriser les réseaux informatiques de la Défense.

Pour l’avenir, il est maintenant question d’organiser un "cyber boot" un camp destiné aux jeunes dans le domaine de la cyber-défense. l’Ecole Royale militaire a aussi lancé un master en cyber-sécurité en 2014. Les premiers diplômés arriveront sur le marché dans quelques années.

Si vous vous sentez une âme de chevalier blanc du hacking (un White Hat), rendez-vous donc sur les sites respectifs de la police, de la Sûreté de l’Etat et de la Défense. C’est un mode de sélection moins glamour mais, en principe, efficace.

Dans le privé aussi la cyber-défense s’organise et recrute par "le jeu". Il existe des compétitions de cyber-sécurité comme le Cyber Security Challenge, qui a opposé précisément 300 étudiants des universités et des grandes Ecoles belges dans une phase de qualification. La finale a lieu ce jeudi, le 17 mars

La conclusion viendra de la Business Software Alliance (BSA) qui réunit d’importantes entreprises IT internationale. Selon une étude de la BSA, la Belgique s'illustre positivement grâce à sa stratégie de cybersécurité adoptée en 2012. "L'ouverture du Centre pour la cybersécurité belge est une initiative positive."

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK