Des pirates informatiques éthiques ont attaqué la Confédération sans trouver de faille critique

L'administration fédérale a mené un programme de primes aux bugs informatiques (bug bounty) entre le 30 août et le 11 octobre, auquel 32 pirates éthiques ont participé. Ces programmes visent à identifier, documenter et corriger les éventuelles vulnérabilités des systèmes et applications informatiques.

Les pirates éthiques, contrairement aux pirates à motivation criminelle, s'engagent à respecter la loi et agissent avec le consentement des acteurs concernés, précise un communiqué publié mardi.

Le système d'accès et d'autorisations de l'administration fédérale eIAM est l'infrastructure de connexion centrale de la Confédération. Il est utilisé par plus de 1000 applications spécialisées. L'infrastructure gère en moyenne 550'000 connexions par jour.

14 vulnérabilités "valables"

Les vulnérabilités ont été classées en fonction de leur criticité comme "faible" (correction optionnelle), "moyenne" (correction à l'occasion de la prochaine version), "élevée" (correction rapide) ou "critique" (correction immédiate). Au total, 28 vulnérabilités ont été signalées et 14 d'entre elles ont été reconnues comme valables.

Aucune vulnérabilité "critique" n'a été trouvée. Une vulnérabilité a été considérée comme "élevée". Neuf ont été considérées comme "moyennes" et quatre comme "faibles". Le total des récompenses versées aux pirates éthiques pour les failles qu'ils ont découvertes s'élève à 5700 francs.

ats/ther