Les plateformes de Bug Bounty ont le vent en poupe. Cet état de choses se justifie par le fait que les métiers du test de logiciels/test de vulnérabilités n’ont été reconnus comme tels que très récemment. Au-delà, il y a un changement dans le regard que leur portaient les entreprises et organisations en quête de tels services. Les plateformes de Bug Bounty sont désormais moins considérées comme étant une source de dangers, ce, à tel point que des organisations comme le Pentagone se prêtent au jeu. Après le succès de l’opération « Hack the Pentagon » l’an passé, place cette année à celle dénommée « Hack the Air Force ».« Nous avons des hackers qui essaient de pénétrer nos systèmes tous les jours. Il serait intéressant de disposer d’autres pour anticiper et nous donner plus de détails sur la manière de protéger nos systèmes », s’est exprimé Peter Kim, responsable de la sécurité des systèmes d’information de l’US Air Force. Les avis semblent être globalement favorables à l’opération comme le suggère cette intervention de Chrys Lynch directeur du service de défense du numérique à l’US Air Force : « chaque organisation dispose de ressources humaines, mais surtout d’un temps limité pour découvrir des vulnérabilités au sein de son réseau. L’avantage de s’ouvrir à des programmes comme celui-ci est de pouvoir obtenir d’excellents résultats pour de faibles coûts ».
L’entreprise HackerOne a annoncé avoir été contactée par Peter Kim et Chrys Lynch hier. L’objectif : lancer la première campagne de Bug Bounty de l’US Air Force pilotée via la plateforme HackerOne. Peter Kim a cependant précisé que les tests ne porteraient pas sur des systèmes d’armement ou à ceux touchant à des aspects sécuritaires très élevés. Les tests porteront sur les interfaces les plus visibles comme les sites Web de recrutement. L’US Air Force n’a pas communiqué sur les montants des récompenses à verser aux experts en sécurité via la plateforme de Bug Bounty, mais les montants mis en jeu dans le cadre de l’opération « Hack the Pentagon » devrait permettre de se faire une idée. Dans le cas du Pentagone, le département de la défense (DoD) avait versé 75 000 $ au total pour des récompenses allant de 100 $ à 15 000 $.
HackerOne informe également qu’au-delà des experts en sécurité de nationalité américaine, ceux du Royaume-Uni, de la Nouvelle-Zélande, de l’Australie et du Canada pourront participer au programme qui démarre le 30 mai prochain.
Sources : HackerOne, Fortune
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Bug Bounty : Microsoft récompense jusqu'à 15 000 dollars, la découverte de failles sur les versions bêta de .Net CoreCLR et d'ASP.NET 5 L'Union européenne augmente le budget alloué à sa sécurité informatique, et met en place un programme de chasse aux bogues