[Tech Thoughts] Les programmes de bug bounty et le hacking éthique de DICT en un coup d'œil

Le Département des technologies de l'information et des communications a publié le 14 janvier la circulaire départementale HRA-002, qui établit les directives, règles et réglementations révisées et consolidées sur les divulgations de vulnérabilités et la politique de safe harbor du pays ainsi que le programme de bug bounty.

Le secrétaire du DICT, Henry Aguda, s'est même rendu à la conférence de hacking Rootcon l'année dernière dans le but de promouvoir ce développement, déclarant que les hackers du pays devraient utiliser leurs compétences "pour protéger, et non pour détruire".

À cette fin, l'institution de la politique de safe harbor et du programme de bug bounty (SHPBBP) devrait être une note de bienvenue pour ceux qui possèdent les bonnes compétences, car elle tente d'encourager les divulgations responsables en matière de cybersécurité pour les services gouvernementaux.

Voyons ce que tout cela signifie, surtout si vous n'avez pas entendu parler de ce développement.

Hackers éthiques, bug bounties et politiques de safe harbor

Le hacking éthique est le processus par lequel un professionnel de la cybersécurité, également connu sous le nom de hacker white-hat, identifie et aide à corriger les vulnérabilités dans les applications, systèmes ou technologies avant que cette vulnérabilité ne puisse être utilisée de manière malveillante par un hacker non éthique, ou black-hat.

En tant que tel, le hacking éthique simule des cyberattaques du monde réel pour évaluer les risques d'un système afin que les systèmes donnés puissent être améliorés ou autrement renforcés en matière de sécurité.

Pour rendre le hacking éthique gratifiant pour les hackers white-hat, les programmes de bug bounty sont des structures organisationnelles mises en place pour évaluer et offrir une compensation financière pour le travail de découverte et de transmission responsable des vulnérabilités aux personnes développant les systèmes qui ont été hackés. Ceci afin que la sécurité desdits systèmes puisse être améliorée.

Les programmes de bug bounty sont souvent accompagnés de protections pour que les hackers puissent effectuer leur travail.

Ces politiques de safe harbor sont conçues pour protéger les hackers white-hat ou les chercheurs en sécurité de toute responsabilité administrative, civile ou pénale s'ils trouvent quelque chose dans le processus de chasse aux bugs, tant qu'ils divulguent correctement leurs recherches selon les spécificités d'un programme de bug bounty donné.

De quoi traite la circulaire SHPBBP du DICT ?

Le SHPBBP du DICT décrit les protections et les exigences nécessaires pour participer au programme de bug bounty du DICT.

Maintenant, vous vous demandez peut-être si n'importe qui peut participer à un bug bounty.

Aux fins de la circulaire du DICT, vous devez, au minimum, être un chercheur professionnel en cybersécurité pour participer. Vous devez également vous enregistrer dans le cadre d'une procédure Know Your Contributor (KYC) pour même être éligible à être récompensé par un bug bounty.

Plus précisément, la circulaire indique qu'elle s'applique aux éléments suivants :

• Toutes les agences gouvernementales nationales relevant de la branche exécutive, y compris les sociétés publiques et contrôlées par le gouvernement et leurs filiales, les institutions financières gouvernementales et les universités et collèges d'État, y compris celles sous le domaine *.gov.ph et les plateformes gérées par le DICT ;
• Le Congrès philippin, le pouvoir judiciaire, les commissions constitutionnelles indépendantes, le bureau de l'Ombudsman et les collectivités locales sont vivement encouragés à adopter cette circulaire ;
• Les entités privées volontairement inscrites dans le cadre du programme de partenariat public-privé en cybersécurité du DICT ;
• Les opérateurs d'infrastructures d'information critiques (CII), tels qu'identifiés dans le cadre du plan national de cybersécurité (NCSP) ; et
• Les chercheurs en cybersécurité chargés d'identifier et d'analyser les menaces potentielles pour le réseau et les systèmes d'une organisation.

Les protections de safe harbor ne s'appliqueront, quant à elles, que si vous êtes un chercheur en sécurité qui teste uniquement les systèmes déclarés dans le cadre des bug bounties ; vous ne commettez aucune sorte d'exfiltration, d'altération ou de perturbation de service de données non autorisées ; vous signalez les vulnérabilités de manière responsable et privée au DICT ou à l'entité autorisée ; et vous gardez vos conclusions privées et ne les divulguez pas jusqu'à ce que le problème que vous avez trouvé ait été résolu ou que vous ayez été autorisé à en discuter publiquement.

Comment tout cela fonctionne-t-il ?

Vous êtes peut-être curieux de savoir comment cela fonctionne en pratique, voici donc comment cela se déroulerait généralement.

Un chercheur en sécurité postule pour rejoindre l'initiative du DICT via la procédure Know Your Customer mentionnée ci-dessus. Ils doivent terminer l'ensemble du processus et être acceptés pour être éligibles aux récompenses en espèces. Les conflits d'intérêts — par exemple, le personnel du DICT et les fournisseurs de services tiers engagés par le DICT — disqualifient les candidats potentiels de participer à ces bug bounties.

Le programme de bug bounty verra ses primes fixées par les entités participantes, à savoir les agences gouvernementales ayant besoin d'aide, ou les partenaires gouvernementaux qui souhaitent fixer leur propre prime. Le financement pour faire fonctionner cette circulaire "sera imputé sur le budget existant de l'agence ou de l'institution couverte, et sur toutes autres sources de financement appropriées que le Département du budget et de la gestion pourra identifier, sous réserve des lois, règles et réglementations pertinentes".

Ces primes — y compris quels sites ou services et quels aspects de ces sites et services nécessitent des tests — sont répertoriées sur un portail de programme de divulgation de vulnérabilités (VDPP), un site web dédié à la chasse aux bugs et à leur signalement. Celui-ci est hébergé et maintenu par le bureau de cybersécurité du DICT.

Les bugs et problèmes correctement signalés au VDPP peuvent relever de quatre scénarios de sécurité possibles allant de Critique, Élevé, Moyen et Faible, avec des paiements potentiels basés sur les taux de l'industrie en fonction des rapports et de leur gravité.

Le bureau de cybersécurité du DICT validera les rapports et donnera à ceux ayant des rapports validés "un certificat/une reconnaissance approprié(e) pour la contribution du chercheur dans le signalement et/ou
la résolution de la vulnérabilité validée". Les entités participantes du secteur privé, après coordination avec le bureau de cybersécurité du DICT, peuvent offrir des récompenses monétaires ou des incitations appropriées basées sur les mécanismes d'incitation structurés décrits dans le VDPP.

Outre les récompenses monétaires, il y a aussi la reconnaissance impliquée puisque les divulgations responsables bénéficient d'un certain temps sous les projecteurs du gouvernement. Les récompenses comprennent des certificats numériques et imprimés, une reconnaissance publique sur le VDPP et l'inclusion dans d'autres citations du DICT, selon la circulaire.

Un développement indispensable

Un programme national de bug bounty avec des règles définies pour s'engager dans le processus est une bonne nouvelle et un développement indispensable dans l'espace de la cybersécurité, car il devrait aider à encourager le hacking éthique à long terme tout en améliorant les systèmes gouvernementaux dès maintenant.

Si vous êtes un professionnel de la cybersécurité en herbe, cela peut être un bon moyen d'entrer dans l'industrie, tant que vous savez ce que vous faites et effectuez le travail requis pour des divulgations responsables.

Consultez la circulaire liée ici pour plus de détails et impliquez-vous. Vous pourriez aider à améliorer la sécurité gouvernementale contre certaines personnes malveillantes. – Rappler.com