Les pirates informatiques éthiques sont invités à découvrir des vulnérabilités critiques dans l’infrastructure numérique des gouvernements ukrainien et russe.

HackenProof, la plate-forme de primes de bogues basée en Estonie, a déclaré des bogues signalés dans un programme de divulgation de vulnérabilités (VDP) concentré sur les actifs ukrainiens sera envoyé aux autorités ukrainiennes pour remédiation afin de renforcer la nation contre la cyber-agression de la Russie ou d’ailleurs.

Les informations sur les failles de sécurité soumises à un deuxième VDP dédié à la « machine de propagande » russe sont quant à elles relayées aux cyber-forces ukrainiennes afin qu’elles puissent « supprimer les fausses informations » et « diffuser des faits réels » sur l’invasion en cours de l’Ukraine par le pays.

Réticences

Bien que les pirates qui trouvent des bugs dans les actifs russes aient reçu pour instruction de les signaler de manière anonyme et de ne pas les exploiter eux-mêmes, certains professionnels de la cybersécurité ont fait part de leurs inquiétudes concernant les programmes.

S’exprimant sur Twitter, un pirate informatique a refusé de participer en raison des risques potentiels de l’escalade du conflittandis qu’un autre préoccupation tweeté sur les cibles russes suggérées, qui incluent les systèmes SCADA et les secteurs des télécommunications, des banques et de l’énergie.

Mikko Hyppönen, directeur de la recherche pour la société finlandaise de cybersécurité F-Secure, a déclaré La gorgée quotidienne: « Il ne semble pas y avoir de doute sur ce que fait HackenProof : ils encouragent carrément les attaques contre des cibles russes, y compris les DDoS contre les systèmes des chemins de fer russes.

« C’est évident, si vous vérifiez les messages qu’ils publient sur leur chaîne Telegram. Je ne pense pas avoir jamais rien vu de tel.

« Il n’est pas surprenant que les gens veuillent attaquer des cibles russes dans cette situation. Mais il est surprenant de voir une plateforme de bug bounty en faire la promotion.

La gorgée quotidienne a parlé à un autre professionnel de la cybersécurité basé en Estonie qui a mis en garde les pirates contre le soi-disant cyber-vigilance parce que « qui va les protéger, ainsi que ceux qui sont touchés, s’ils vont trop loin ? C’est pourquoi les hack-backs sont généralement illégaux ».

« Lutter contre la désinformation »

Interrogé sur ces préoccupations, le PDG de HackenProof, Yevheniia Broshevan, qui est Ukrainien, a déclaré La gorgée quotidienne: « Après le lancement du programme, nous avons eu des retours et avons décidé de nous concentrer sur la lutte contre la désinformation. Désormais, toutes les forces des hackers se concentrent sur la recherche de moyens de diffuser les faits réels.

Broshevan a poursuivi : « Ce qui est important, c’est que nous n’allons pas stocker ou réutiliser les bogues ou les données signalés. Nous offrons une plate-forme sécurisée et un tableau de bord aux chercheurs indépendants qui souhaitent aider l’Ukraine. »

La plate-forme américaine de primes aux bogues HackerOne a encouragé sa propre « communauté de hackers à envisager de participer au programme de HackenProof pour renforcer l’infrastructure numérique de l’Ukraine », mais a ajouté « que HackerOne ne s’engagera PAS dans le piratage offensif ».

Il s’est également engagé à « retirer tous les programmes destinés aux clients basés en Russie, en Biélorussie et dans les zones occupées d’Ukraine ».

« Guerre désastreuse »

HackenPreuve tweeté le 4 mars que le Programme « Équipe rouge »lancé le 26 février, a reçu 367 signalements et le « Blue Team Program », lancé le 1er mars, a reçu 140 signalements.

« Malheureusement, la Russie a déclenché la guerre la plus grande et la plus désastreuse en Europe depuis la Seconde Guerre mondiale », a déclaré Broshevan. « Il est de notre devoir de protéger l’Ukraine des terroristes russes et de leurs alliés du Bélarus. »

Broshevan a ajouté : « Nous voulons arrêter la propagande russe en permettant aux personnes vivant en Russie d’arrêter de consommer de fausses nouvelles et de la désinformation concernant la guerre en Ukraine ».

Les chasseurs de bogues ne recevront pas de primes pour les découvertes sur l’un ou l’autre programme.

Broshevan a ajouté : « Les spécialistes de la cybersécurité et les pirates informatiques du monde entier veulent aider l’Ukraine dans sa lutte pour un avenir démocratique et sûr et à cette fin, ils utilisent toutes leurs compétences et leurs connaissances. »