Posté le août 31, 2021 à 14:45
LE GOUVERNEMENT DE SINGAPOUR ANNONCE UN NOUVEAU PROGRAMME DE CHASSE AUX BUGS POUR LES WHITE HATS
Le gouvernement de Singapour est l’un des rares au monde à avoir pris au sérieux l’augmentation de l’activité de piratage informatique au cours de la dernière décennie et à avoir fait un effort pour évaluer et améliorer son infrastructure TIC. Bien entendu, l’un des moyens les plus simples de tester la solidité et la stabilité de l’infrastructure est de demander à des hackers de la pirater.
C’est ce que font les entreprises du monde entier depuis des années, et c’est pourquoi Singapour a proposé des paiements pouvant aller jusqu’à 5 000 dollars aux hackers white hat qui parviennent à trouver des failles, des bugs et autres problèmes similaires dans ses systèmes, destinés au secteur public.
Détails sur la nouvelle chasse aux bugs
La GovTech (Government Technology Agency) du pays a mis en place un nouveau programme appelé « Vulnerability Rewards Programme ». Il s’agit en fait de la troisième initiative qui a pour but de renforcer la sécurité des systèmes locaux. Elle gère également des programmes de divulgation des vulnérabilités, ainsi que des primes aux bugs.
GovTech a commenté les programmes de découverte de vulnérabilités dits crowdsourcés, en disant qu’ils offrent un mélange de rapports constants et de tests approfondis saisonniers. Ces programmes s’adressent généralement à une communauté plus large, et leurs contributions ne font que compléter les tests de pénétration que le gouvernement effectue lui-même régulièrement.
Les programmes de bug bounty sont saisonniers, selon le gouvernement, et se concentrent sur 5 à 10 systèmes par cycle, généralement ceux qui sont considérés comme critiques et très médiatisés. Cela dit, ce nouveau programme de récompenses sera différent. D’une part, il sera permanent et testera en permanence un large éventail de systèmes TIC vitaux.
Il offrira des récompenses pour toute vulnérabilité, les participants pouvant gagner entre 250 et 5 000 dollars, en fonction de la gravité de la vulnérabilité. Il existe également une prime spéciale pouvant atteindre 150 000 dollars, qui est réservée à toute personne qui découvre des vulnérabilités susceptibles d’avoir un « impact exceptionnel ». Toutefois, ces vulnérabilités ne seront connues que du gouvernement et des hackers inscrits. Qui plus est, cette prime ne s’appliquera qu’à des systèmes spécifiques.
Cependant, il existe également une prime encore plus spéciale que celle-là. Celle-ci sera mesurée par rapport aux programmes de vulnérabilité crowdsourcés mondiaux, y compris ceux gérés par les grandes entreprises technologiques telles que Microsoft, Google, etc.
D’après ce que l’on sait, le gouvernement de Singapour appliquera le nouveau système de récompenses à trois systèmes du secteur public, du moins dans un premier temps. Il s’agirait des services électroniques du ministère de la main-d’œuvre et du Central Provident Fund Board – Sing Pass et CorpPass – ainsi que de WorkPass. Par la suite, le programme sera étendu à des systèmes plus critiques, mais il les atteindra progressivement.
Le gouvernement a l’habitude de sécuriser ses systèmes avec l’aide de hackers
Le programme sera géré par HackerOne, un opérateur de bug bounty bien connu, et il a été annoncé que seuls les hackers répondant à un ensemble de critères stricts seront autorisés à participer. HackerOne effectuera des contrôles stricts pour s’assurer que seuls les hackers qui remplissent les conditions requises auront accès aux systèmes, et aucun autre. Mais ce ne sera pas tout, car même ceux qui seront approuvés devront passer leur contrôle de sécurité par une passerelle VPN désignée que HackerOne fournira.
Le VPN sera conçu de telle sorte que l’accès des hackers sera instantanément refusé s’ils enfreignent les règles et s’égarent dans la mauvaise direction en explorant les systèmes. Jusqu’à présent, la GovTech de Singapour a eu beaucoup d’expérience avec les hackers, même si elle n’a commencé à collaborer avec eux qu’en 2018. Mais, en ces quelques années, elle a travaillé avec plus de 1 000 d’entre eux, et plus de 500 bugs, failles et vulnérabilités valides ont été découverts et réparés grâce à leurs efforts.
Ce nouveau programme a pour but de permettre au gouvernement de récolter les talents mondiaux de personnes axées sur la sécurité et de les utiliser pour mettre ses systèmes à l’épreuve. Les citoyens en bénéficieront car les systèmes seront mieux adaptés à la protection de leurs données, le gouvernement aura l’esprit tranquille et les hackers auront l’occasion de gagner de généreuses récompenses, à condition de trouver et de signaler des vulnérabilités valables. Tout le monde y gagne.
