Les hackers dénichent dix failles dans les service de l’administration fédérale (update)
Le Centre national de cybersécurité (NCSC) a organisé un programme de Bug Bounty. Les hackers étaient invités à s’attaquer à des systèmes de l'administration fédérale. Ce projet pilote de deux semaines, réalisé en collaboration avec la société Bug Bounty Switzerland, a permis de découvrir dix failles de sécurité.
Mise à jour du 01/07/21: Le programme de Bug Bounty organisé par la Confédération pour éprouver certains des services de son administration est un succès, fait savoir le Centre national de cybersécurité (NCSC). Du 10 au 21 mai 2021, quinze hackers ont passé au peigne fin six systèmes informatiques du DFAE et des Services du Parlement. Résultat: dix failles de sécurité découvertes. Une était de gravité «critique», sept de gravité «modérée» et deux de «faible» gravité, précise le communiqué. Ces failles ont été comblées sans délai par les fournisseurs de prestations concernés. Tirant un bilan positif de l'expérience, le NCSC entend étendre «continuellement et aussi largement que possible» ce programme. «Comme l'a montré le projet, les programmes de primes aux bogues sont efficaces pour détecter et corriger les failles présentes dans les systèmes et applications informatiques. Le retour sur investissement a été estimé comme étant élevé», souligne le NCSC.
Mise à jour du 10/05/21: L'administration fédérale lance un programme de Bug Bounty, qui débutera le 10 mai. Il s'agit d'un projet pilote mis en place en collaboration avec la société Bug Bounty Switzerland, annonce le National Cyber Security Center (NCSC).
La portée du projet pilote est clairement délimitée: en termes de durée, de cibles et de participants. Cette chasse au bugs se déroulera pendant deux semaines. Deux systèmes informatiques du Département fédéral des affaires étrangères (DFAE) et un système des services du Parlement seront testés. Seuls les hackers connus de Bug Bounty Switzerland ou du NSCS, ayant déjà fait leurs preuves avec d'autres projets, peuvent participer.
Etant donné que les systèmes concernés appartiennent à l'administration fédérale, le programme fixe des exigences strictes en matière de protection des données - les données doivent notamment rester en Suisse, par exemple. Dans cette optique, Bug Bounty Switzerland a développé ces derniers mois, avec l'assistance technique de Microsoft Suisse, sa propre plateforme de Bug Bounty.
News originale du 26/02/21: La Confédération va faire appel à des pirates informatiques éthiques pour traquer les vulnérabilités. Le Centre national pour la cybersécurité (NCSC) prévoit de conduire une première campagne de bug bounty probablement en avril, selon la NZZ. Il s'agira pour une poignée de pirates informatiques suisses sélectionnés «d’attaquer une application déterminée interne de l'administration fédéral» pendant deux semaines.
Celui ou celle qui trouve une vulnérabilité pendant cette période se verra récompensée. Le test pilote est destiné à montrer la valeur ajoutée des programmes de bug bounty pour la Confédération.
Les données restent en Suisse
Le projet est mis en œuvre en collaboration avec la société Bug Bounty Switzerland fondée en avril dernier et qui compte le délégué à la cybersécurité Florian Schütz à son conseil consultatif. L’entreprise a annoncé récemment qu’elle construit la première plateforme suisse du genre en collaboration avec Microsoft. Selon la NZZ, le fait que la plateforme soit suisse était une condition obligatoire pour que le gouvernement suisse envisage un programme de bug bounty.
Les suites qui seront données au projet pilote ne sont pas encore clairs. «Nous considérons qu'il s'agit d'un projet agile et nous procédons étape par étape», explique Pascal Lamia du NCSC à la NZZ . Le projet pilote vise à faire une première expérience des programmes de bug bounty. L’évaluation de l'essai devrait être disponible avant les vacances d'été.
