Le Pentagone organise ce que l’on appelle un “Bug Bounty” : cela consiste à inviter des hackers à identifier des failles de sécurité dans ses technologies, et à les récompenser quand ils en découvrent. Plus la faille trouvée est critique, plus la récompense est élevée. C’est une pratique assez courante chez les géants des technologies aux Etats-Unis, initiée par Netscape dès 1995.
Aujourd’hui, la plupart des grands de la Silicon Valley pratiquent le Bug Bounty afin de sécuriser leurs technologies : Yahoo, Microsoft, Google, Facebook, Paypal, IBM, eBay… Mais des entreprises hors du cadre strict des technologies s’y mettent également, tel United Airlines ou General Motors.
Cette approche de la détection de faille de sécurité connait un boom aux Etats-Unis depuis quelques années, car elle se révèle être un complément indispensable à l’approche traditionnelle, le pentesting, qui consiste à mobiliser un ou deux experts durant quelques semaines en leur confiant la mission de découvrir ces même failles. Avec un Bug Bounty, on peut attirer bien plus de monde, et par là même des compétences et des approches bien plus variées, reflétant la diversité que l’on peut trouver du coté des attaquants. Qui plus est, un Bug Bounty peut être ouvert de façon indéfinie, offrant une attention permanente, là où elle n’était que ponctuelle auparavant avec la précédente approche, le pentesting. Enfin, c’est une approche bien plus rationnelle en termes de ROI : plutôt que d’acheter du temps de recherche d’un ou deux experts, on achète directement auprès des experts le résultat de cette recherche.
Le fait que le Pentagone organise son propre Bug Bounty est en quelque sorte la validation ultime de cette approche de la sécurité informatique, qui fait appel à la foule sur le mode du crowdsourcing et de l’“économie collaborative”.
Aux Etats-Unis, c’est une pratique courante, et l’arrivée du Pentagone n’est que l’aboutissement d’un mouvement entammé depuis des années par tous les géants des technologies, alors qu’en Europe, cette approche de la sécurité informatique est apparue plus récemment. Deux plateformes de Bug Bounty on été lancées cette année en France : Yogosha et BountyFactory.