Le Département de la sécurité intérieure (DHS) a révélé aujourd’hui que les chasseurs de primes de bugs inscrits à son programme de primes de bugs « Hack DHS » ont trouvé 122 vulnérabilités de sécurité dans les systèmes DHS externes, dont 27 ont été classées comme étant de gravité critique.
Le DHS a accordé un total de 125 600 $ à plus de 450 chercheurs en sécurité et pirates éthiques approuvés, avec des récompenses allant jusqu’à 5 000 $ par bug, selon la gravité de la faille.
« La participation enthousiaste de la communauté des chercheurs en sécurité au cours de la première phase de Hack DHS nous a permis de trouver et de corriger les vulnérabilités critiques avant qu’elles ne puissent être exploitées », a déclaré Eric Hysen, directeur de l’information du DHS.
« Nous sommes impatients de renforcer davantage notre relation avec la communauté des chercheurs à mesure que Hack DHS progresse. »
Le programme « Hack DHS » s’appuie sur l’expérience d’efforts similaires au sein du gouvernement fédéral américain (par exemple, le programme « Hack the Pentagon ») et du secteur privé.
Le DHS a lancé son premier programme pilote de bug bounty en 2019, deux ans avant « Hack DHS », après la Loi sur les technologies SÉCURISÉES a été promulguée, exigeant la mise en place d’une politique de divulgation des vulnérabilités de sécurité et d’un programme de primes.
Lancé pour développer un modèle pour d’autres organisations gouvernementales
Le programme de primes de bugs « Hack DHS » a été annoncé en décembre 2021. Il oblige les pirates à divulguer leurs découvertes ainsi que des informations détaillées sur la vulnérabilité, comment elle peut être exploitée et comment elle peut être utilisée pour accéder aux données des systèmes DHS.
Toutes les failles de sécurité signalées sont ensuite vérifiées par les experts en sécurité du DHS dans les 48 heures et sont corrigées en 15 jours ou plus, selon la complexité du bug.
Une semaine après le lancement, le DHS a élargi la portée du programme de primes « Hack DHS » pour permettre aux chercheurs de traquer les systèmes DHS touchés par les vulnérabilités liées à Log4j.
La décision d’étendre le programme fait suite à une directive d’urgence de la CISA ordonnant aux agences fédérales du pouvoir exécutif civil de patcher leurs systèmes contre le bug critique Log4Shell jusqu’au 23 décembre.
« Les organisations de toutes tailles et de tous les secteurs, y compris les agences fédérales comme le Department of Homeland Security, doivent rester vigilantes et prendre des mesures pour accroître leur cybersécurité », ajoutée Secrétaire à la Sécurité intérieure Alejandro N. Mayorkas.
« Hack DHS souligne l’engagement de notre département à donner l’exemple et à protéger les réseaux et l’infrastructure de notre pays contre l’évolution des menaces de cybersécurité. »