Le premier ‘Hack the Government’ expose 70 vulnérabilités uniques
Le Centre pour la Cybersécurité Belgique (CCB) a organisé pour la première fois une compétition dans laquelle des hackers éthiques pouvaient pirater des systèmes gouvernementaux. Cela a permis de détecter des dizaines de points faibles, mais c’est une bonne chose.
‘Hack The Government’ est une initiative du CCB en collaboration avec la plate-forme de bug bounty Intigriti. Depuis le 13 novembre, étudiants et professionnels étaient autorisés à appliquer leurs compétences en matière de hacking sur quatre services gouvernementaux. Le SPF Stratégie et Appui (BOSA), l’Office National des Vacances Annuelles (ONVA/RVJ), l’Agence Fédérale des Médicaments et des Produits de Santé (AFMPS) et le Centre pour la Cybersécurité Belgique (CCB) y ont participé. L’événement s’est clôturé le mercredi 27 novembre.
Au total, 145 vulnérabilités ont été détectées chez les quatre organisations participantes. Comme certaines étaient des doublons, le nombre s’est réduit à 70 vulnérabilités uniques, dont certaines sont graves et d’autres moins graves. La plupart des problèmes n’ayant pas encore été résolus, le CCB ne fournit actuellement aucun détail sur les circonstances précises dans lesquelles des systèmes peuvent être abusés.
Le CCB se déclare satisfait des résultats. ‘Il y avait une très belle dynamique: les hackers professionnels coachaient les étudiants, c’était une communauté très sympa’, explique Katrien Eggers, porte-parole du CCB.
Le gagnant de ‘Hack The Government 2024’ s’appelle Robbe Verwilghen. Il a découvert la plupart des points faibles et a travaillé de manière très créative. Il remporte une formation de son choix à l’Institut SANS. Verwilghen est ‘penetration tester’ chez Toreon et a travaillé précédemment pour Intigriti entre autres.
Le piratage éthique était autrefois illégal, mais la législation a entre-temps changé. Cela signifie que dans certaines circonstances, il est permis de rechercher des faiblesses dans les systèmes IT et de les signaler ensuite discrètement à l’organisation concernée. De telles compétitions de hacking sont donc un complément utile à une politique de sécurité, car elles font ressortir des éléments parfois négligés par l’organisation elle-même.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici