La DARPA offre 2 millions pour l’optimisation de la recherche et de l’élimination des vulnérabilités.

Chacun possède sa technique pour la chasse aux bogues. Microsoft, par exemple, a commencé à octroyer des prix à ceux qui parvenaient à déjouer les défenses dans le cadre du programme Blue Hat Prize. Un nouvel acteur a fait son entrée en scène : l’Agence pour les projets de recherche avancée de défense des Etats-Unis (Defence Advanced Research Project Agency, DARPA) a mis 2 millions de dollars sur la table pour la création d’un système automatisé de protection de réseau qui ne s’occuperait pas seulement de la recherche et de l’identification des vulnérabilités, mais également de leur élimination au vol.

Le concours Cyber Grand Challenge (CGC) a été officiellement lancé le 22 septembre et les candidatures sont acceptées jusqu’au 14 janvier. Ensuite, la DARPA organisera des éliminatoires afin de sélectionner les équipes finalistes pour le premier semestre 2016. Les forums proposés par la DARPA à l’adresse darpa.mil/cybergrandchallenge permettront une grande participation et faciliteront le travail des équipes.

Les participants devront mettre au point un système qui fonctionnera sans intervention humaine et qui sera capable d’entrer en compétition en temps réel avec d’autres systèmes semblables dans la recherche et la suppression de vulnérabilité critiques. « Les tendances à la hausse observées au niveau des cyberattaques et des programmes malveillants soulignent la nécessité de développer des systèmes automatisés capables à l’avenir de venir en aide aux spécialistes en sécurité informatique » a déclaré Dan Kaufman, directeur du service d’innovations en technologies de l’information du DARPA et responsable du CGC.

Les différentes équipes seront composées d’experts réunissant différents profils : des experts en ingénierie inverse, en analyse de code, en sécurité informatique, etc. Ils devront d’abord créer un système automatisé capable d’analyser les paquets d’application à la recherche de vulnérabilités. Si ce système est capable d’identifier, d’analyser et d’éliminer un bogue automatiquement, ses auteurs seront admis au tour suivant. Dans sa version finale, le système devra pouvoir identifier catégoriquement les erreurs dans les applications, réaliser des recherches dans le réseau et protéger les nœuds vulnérables et garantir également le fonctionnement de l’application originale. Les vainqueurs recevront un prix de 2 millions de dollars. L’équipe en deuxième position recevra 1 million de dollars tandis que le prix destiné à la troisième position s’élèvera à 750 000 dollars.

L’institution à l’origine du CGC n’a pas l’intention de contrôler la diffusion des technologies qui seront développées lors des tests. Elle se contentera d’acquérir les droits de licence dans des conditions raisonnables. Le concours est ouvert aux citoyens des Etats-Unis et d’autres pays.

L’idée du concours en lui-même est née, d’après la DARPA, de l’imperfection des outils de protection actuels : signatures, analyse statistique, phasing, contrôle des flux de données, etc. « Les participants au concours vont améliorer et unifier ces technologies semi-automatisées au sein d’un système intelligent sans intervention humaine qui pourra lui-même conceptualiser les erreurs de programmation, confirmer la présence de lacune dans les applications réseaux et mettre en place une protection efficace résume la DARPA dans son avis. L’être humain crée les signatures suite à une analyse grâce à son pouvoir de réflexion. Dans le cadre de la protection automatisée, le cybersystème, capable d’analyser intelligement les logiciels, créera sa propre base de connaissances et produira et utilisera des éléments tels que les signatures des vulnérabilités détectées par l’analyse, les signatures pour la détection des intrusions et les correctifs pour les failles dans le protection.

Source :
http://threatpost.com/darpa-contest-to-pay-2m-for-automated-network-defense-patching/102674

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *