Le Département de la Défense améliore la protection de son site Web

La situation

Comment repérer les faiblesses et les vulnérabilités de sécurité sans mettre en péril les systèmes et les données les plus critiques du pays lorsque l'on est le gouvernement fédéral des États-Unis ? Il suffit de marcher sur les traces des grandes marques technologiques qui font appel au crowdsourcing pour la découverte et la divulgation des failles de sécurité, tout en assurant la disponibilité et la sécurité grâce aux services d'Akamai. C'est l'idée qu'a proposé le Defense Digital Service (DDS), la branche du Département de la Défense du Service digital de la Maison-Blanche.

Créé par le secrétaire à la Défense, Ash Carter, pour transformer la façon dont le Département de la Défense construit et applique les technologies, le DDS est chargé de tirer parti des talents et des meilleures pratiques du secteur privé pour améliorer les services les plus indispensables du gouvernement fédéral. Après avoir admis que se cacher pour rester en sécurité n'était ni réaliste ni viable, début 2016, le DDS a convaincu le Département de la Défense de lancer son premier programme de signalement de bugs appelé « Hack the Pentagon ». En tirant parti des innovations et des nouvelles idées qui caractérisent le secteur privé, le Département de la Défense a trouvé un moyen rentable d'aider ses experts internes en cybersécurité et de mieux protéger ses systèmes et réseaux.

Le défi

Si les initiatives de signalement des bugs sont plutôt courantes dans le secteur privé, c'était une première pour le gouvernement fédéral. Ceci dit, le concept est relativement simple : une entreprise incite des chercheurs externes – ou des pirates « éthiques » – à tester la sécurité de ses réseaux et applications et à signaler ce qu'ils trouvent afin de corriger les failles de sécurité. Ici, le gouvernement fédéral américain a embauché un tiers, HackerOne, pour organiser et gérer les « pirates » qui devaient identifier les failles.

Pour assurer le succès de ce programme, le DDS a travaillé en étroite collaboration avec la Defense Media Activity (DMA). Cette société fournit au Département de la Défense des services cloud, dont un système de gestion de contenu Web pour plus de 700 sites Web accessibles au public appartenant à l'armée et au Département. Le DDS et la DMA ont compris les risques et se sont rendu compte que plus ils conviaient de pirates à les rejoindre, plus ceux-ci trouveraient de bugs à signaler. Ils savaient également que pour fournir un défi intéressant à la fois aux chercheurs expérimentés et aux pirates novices, le programme devait inclure des cibles de gros calibre mais également des sites externes au Département de la Défense. Enfin, en plus de lancer et de gérer efficacement l'ensemble du programme, le DDS et la DMA devaient également gérer toutes les communications externes avec la presse concernant tous les aspects du programme.

Les objectifs

Le DDS avait besoin de répondre à deux exigences clés pour atteindre ses objectifs :

• Déjouer les attaques sur Internet. Les sites liés au Département de la Défense sont des cibles très connues et le programme allait attirer encore davantage l'attention des médias, et donc davantage d'attaques.
• Assurer la disponibilité. Pour tirer le meilleur parti possible de ce marathon contre le piratage, le Département de la Défense devait s'assurer que les sites mis à disposition pour les tests de vulnérabilité resteraient en ligne.

Les avantages d'une protection éprouvée

Dès le début, la DMA a recommandé que defense.gov soit inclus dans le programme, puisqu'il était déjà protégé par Akamai. Le DDS a également mis en place d'autres mesures de sécurité pour décourager les activités néfastes pendant l'événement.

En parallèle, la DMA a fait appel aux services professionnels d'Akamai pour se préparer au programme. Ayant déjà mis en place une initiative de ce type, les experts d'Akamai ont pu offrir des idées et des suggestions précieuses tout au long du programme. En outre, la DMA a ajouté le service Client Reputation d'Akamai afin d'avoir une couche de sécurité supplémentaire. Client Reputation s'appuie sur des algorithmes avancés pour calculer un score de risques basé sur le comportement antérieur observé sur l'ensemble du réseau Akamai et profiler le comportement des attaques, des clients et des applications. Sur la base de ces informations, Akamai attribue des scores de risques à chaque adresse IP client et permet à la DMA de choisir quelles actions doivent être exécutées par les services de sécurité d'Akamai. En utilisant Client Reputation, la DMA disposait d'informations exploitables sur environ 54 000 adresses IP client uniques qui ont tenté d'attaquer defense.gov dès le premier jour du programme.

Résister aux pics de trafic

Au départ, le programme concernait seulement trois sites, et seul le site http://www.defense.gov/ était protégé par Akamai. Cependant, en raison de l'intérêt énorme de la communauté des pirates avec plus de 1 400 inscrits, le DDS a dû s'adapter. La DMA a suggéré d'ajouter deux sites supplémentaires pour faire varier les choses tout en permettant aux pirates encore moins qualifiés de trouver des failles de sécurité sur des domaines Web obsolètes et mal configurés.

Deux des cinq sites au total, defense.gov et dodlive.mil, étaient très bien protégés puisque la DMA avait auparavant fait appel à Akamai pour renforcer la protection avec les services de Web Application Firewall (WAF), de Site Shield et de Client Reputation d'Akamai. Lorsqu'un troisième site a cédé en moins d'une journée sous le choc du trafic, la DMA a offert une protection globale par le biais du WAF d'Akamai. La solution WAF est conçue pour bloquer les attaques de couche applicative et volumétriques 24 h/24, 7 j/7, y compris les attaques par déni de service distribué (DDoS), les injections SQL et le cross-site-scripting. Une fois mise en place, le site a résisté au grand nombre d'attaques et aux tests de trafic pour redevenir disponible aux utilisateurs finaux.

Tester la cybersécurité du Département de la Défense

Le programme « Hack the Pentagon » s'est déroulé du 18 avril au 12 mai 2016 et a permis à 252 pirates inscrits de soumettre au moins un rapport de vulnérabilité chacun, pour un total de 1 189 rapports. Chaque fois qu'un rapport était soumis, le DDS corrigeait les problèmes en temps réel avec l'aide de HackerOne. Un peu plus d'un mois après la fin du projet, DDS avait corrigé toutes les failles de sécurité signalées.

Cent trente-huit rapports se sont qualifiés pour la prime, et 58 des 1 410 pirates enregistrés ont reçu des récompenses allant de 100 $ à 15 000 $. La valeur totale du contrat, en comptant les primes versées, était d'environ 150 000 $. Selon le secrétaire à la Défense, le Département de la Défense aurait dépensé plus d'un million de dollars pour découvrir les mêmes failles de sécurité s'il avait procédé comme à son habitude et embauché une entreprise extérieure pour un audit de sécurité et une évaluation des failles.

Contrecarrer les compromissions potentielles

Akamai a fourni et protégé trois des cinq sites participants sans interruption tout au long du programme, tout en desservant 213 millions de visites et 10 téraoctets de données, et en absorbant des pics de trafic d'environ 2 000 visites par seconde. Sans surprise, le programme de signalement des bugs a attiré l'attention de personnes malveillantes. À titre d'exemple, Akamai a protégé defense.gov contre 55 attaques sophistiquées avec plus de 19,2 millions de requêtes malveillantes refusées, dont deux attaques de type inondation de domaines DNS et une attaque DDoS provenant de 250 adresses IP dans 83 pays. Grâce à Client Reputation d'Akamai, la DMA a également pu déjouer une intention malveillante associée à plus d'un million de requêtes. C'est ainsi que la DMA a été en mesure de bloquer automatiquement toutes les menaces importantes connues en bordure de l'Internet et loin de l'infrastructure de serveur Web de la DMA.

En se basant sur l'activité du site Web avant, pendant et après l'exercice, la DMA a pu constater une activité de recherche et de balayage plus importante sur les sites protégés par Akamai.

Étendre le programme

Pour commémorer cet événement, HackerOne a remis une médaille Hack the Pentagon aux pirates victorieux. Satisfait du succès du programme, le secrétaire Carter a déjà publié des plans détaillés visant à étendre le programme de signalement des bugs à d'autres branches du Département de la Défense.

« Nous voulons soumettre de nombreux actifs du Département de la Défense à ce type de programme de sécurité, afin de rationaliser et de raccourcir le temps de découverte des failles de sécurité tout en permettant à nos équipes internes de se concentrer sur la correction des problèmes. Avec le lancement des futurs programmes de signalement de bugs, nous devrons nous assurer que les sites participants sont suffisamment protégés pour rendre le défi plus intéressant. Dans l'idéal, nous aurons une solution commerciale comme celle d'Akamai pour concrétiser cette vision », conclut Lisa Wiswell, responsable de la sécurité digitale pour le Defense Digital Service.

La Defense Media Activity (DMA) sert de ligne de communication directe pour les actualités et l'information aux forces américaines du monde entier. L'agence présente des actualités, de l'information et des divertissements sur diverses plateformes multimédias, comme la radio, la télévision, Internet, les médias imprimés et les technologies de médias émergentes. La DMA informe des millions de membres actifs des services de garde et de réserve, d'employés civils, d'entrepreneurs, de militaires retraités et leurs familles aux États-Unis et à l'étranger.