Une première pour le gouvernement Américain. En 2016 le D.O.D département de la défense des États-Unis s’est lancé dans son premier bug bounty « Hack the Pentagon program « , proposant par le biais du site HACKERONE a des Hackers « white hat » de tester la solidité de leur différents réseaux publics pour une durée de 24 jours. S’ensuivirent d’autre bug bounty incluant celui de l’US Army en 2016, qui a duré un peu plus de 3 semaine, ainsi que celui de l’US AirForce en avril 2017 qui a duré plus de 25 jours.
Pour le programme « Hack The Pentagon ». Parmi les 200 rapports soumis, 138 ont été jugés « légitimes, uniques et éligibles à une prime », faisant gagner aux 250 hackers éligibles a ce challenge un total de 75.000 $ en récompenses totales. Le premier rapport ayant été remis au bout de 13 minutes. Le plus jeune participant avait 14 ans et le plus âgé en avait 53. Parmi les différentes vulnérabilité découvertes une des plus critiques était une faille de type injection SQL qui fait partie du top 10 des vulnérabilités les plus répandues selon le top 10 de l’OWASP.
Le programme « Hack The Army » avait quand a lui 371 participants éligible a ce challenge qui ont soumis un total de 416 rapports. Le premier rapport ayant été remis après seulement 5 minutes. La totalité des rapports jugés « légitimes, uniques et éligibles à une prime » au nombre de 118 on fait gagner aux hackers durant cette campagne une somme totale de 100.000$. Une vulnérabilité extrêmement critique a été découverte par un pirate informatique qui enchaînait créativement une série de bugs. Ce qui lui a permis d’accéder a un réseau interne au département de la défense des États-Unis, et qui n’aurait du être accessible qu’avec des informations d’identifications spéciales.
Ce fut ensuite le tour du programme « Hack The US Air Force » qui fut aussi très productif. Le premier rapport a été remis au bout de 1 minute. 272 pirates éligibles a ce challenge participèrent a ce bug bounty. Parmi le rapports jugés « légitimes, uniques et éligibles à une prime » pas moins de 207 vulnérabilités uniques ont été découvertes. Faisant gagner un total de pas moins de 130.000$ aux divers participants. Un participant âgé de 17 ans a même trouvé plus de 30 vulnérabilités a lui tout seul. Un « Hack The US Air Force 2.0 » à également eu lieux entre décembre 2017 et janvier 2018.
Avant que le D.O.D ait commencé ses programmes de bug bounty, il aurait été impensable car totalement illégal pour ces pirates de faire une recherche de vulnérabilité sur les différents sites web publics du département de la défense, même si leur but avait été de dévoiler les différentes failles au D.O.D.
Voici donc un bel exemple de prise de conscience en matière de cybersecurité en impliquant légalement les Hackers « White Hat » dans le processus de reconnaissance des problèmes. Une phase très importante dans la sécurisation des réseaux. Un bel exemple que devraient suive tous les Opérateurs d’Importance Vitale (O.I.V), ainsi que les différents organismes gouvernementaux.