Homeland Security invite les chercheurs en sécurité à « pirater le DHS »

Le Département de la sécurité intérieure (DHS) a annoncé cette semaine qu'il allait lancer un programme de primes de bogues "Hack DHS".

Comme c'est généralement le cas avec de tels programmes, Le DHS invite des chercheurs en sécurité pour tester ses systèmes et identifier les vulnérabilités de cybersécurité. En retour, le DHS versera des primes de bogues sur confirmation d'une vulnérabilité viable. Contrairement à d'autres programmes, cependant, le DHS a l'intention de n'autoriser l'accès des chercheurs en cybersécurité approuvés qu'à « certains systèmes externes du DHS ».

Le secrétaire à la Sécurité intérieure, Alejandro Mayorkas, a expliqué : « Le programme Hack DHS incite les pirates hautement qualifiés à identifier les faiblesses de la cybersécurité dans nos systèmes avant qu'elles ne puissent être exploitées par de mauvais acteurs.

Le DHS souhaite clairement garder un contrôle étroit sur le programme Hack DHS et le déploie en trois phases. La première phase voit des pirates informatiques (approuvés) effectuer des évaluations virtuelles sur certains systèmes externes du DHS. La phase deux est un événement de piratage en direct et en personne, et la phase trois est une phase d'évaluation pour le DHS où de futures primes de bogues seront planifiées. Quant aux récompenses, selon L'enregistrement, entre 500 $ et 5,000 XNUMX $ seront attribués pour chaque vulnérabilité.

Pourquoi le DHS adopte-t-il cette approche ? C'est probablement parce qu'il existe un objectif à plus long terme de "développer un modèle qui peut être utilisé par d'autres organisations à tous les niveaux de gouvernement pour accroître leur propre résilience en matière de cybersécurité". Ce n'est pas non plus la première fois qu'un tel programme est exécuté, le DoD ayant lancé un programme "Hack the Pentagon" en 2016, qui a permis à plus de 250 pirates de découvrir 138 vulnérabilités.