Pour dénicher les failles dans leurs logiciels spécifiques à Log4j, les entreprises font pour beaucoup appel aux chasseurs de prime aux bogues, ou hackers éthiques.
Plus de 10 jours désormais après le signalement par l'éditeur Apache d'une faille de sécurité au niveau de criticité maximal dans le composant logiciel de journalisation Log4j, baptisée Log4Shell, les entreprises s'activent pour éviter les dommages, et certaines ont même accéléré ou lancé leurs primes aux bogues, de façon à identifier toute vulnérabilité potentielle dans leurs logiciels. Et cela fait le bonheur des hackers éthiques, qui n'en demandaient pas tant.
Tout faire pour rapidement se prémunir de l'exploitation de la faille Log4j
Certaines entreprises ont décidé de mettre tous les moyens à leur disposition pour dénicher des failles dans leurs logiciels. Il faut dire que la vulnérabilité Log4j peut être particulièrement nocive. Présente dans de très nombreux systèmes d'information utilisant le langage Java, elle peut aboutir à la prise de contrôle à distance, par un cybercriminel, d'une application visée, et peut même conduire à ce qu'il prenne le contrôle de la totalité du système d'information.
On sait désormais, et cela a été confirmé par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), que la faille est activement exploitée par des hackers, et ce dans un but évidemment malveillant. Il est donc dans l'intérêt des entreprises de procéder aux mises à jour urgentes de sécurité (Apache vient de déployer un correctif) et de vérifier voire de faire vérifier leurs applications potentiellement vulnérables.
Selon nos informations, diverses entreprises ont déjà lancé des primes aux bogues – ce que l'on appelle traditionnellement le Bug Bounty –, de façon à mettre des hackers, éthiques cette fois, aux trousses des failles dans leurs logiciels.
Les hackers éthiques s'activent pour dénicher des vulnérabilités et toucher des primes aux bogues
L'un des leaders du hacking éthique mondial, HackerOne, nous explique ce lundi que les derniers jours furent particulièrement chargés pour ses hackers éthiques. Plusieurs de ses clients de renom, comme le site d'emploi Glassdoor et la célèbre chaîne d'hôtels Hyatt, ont lancé des initiatives spécifiques à Log4j, afin que des hackers travaillent à l'identification de failles dans leurs différents logiciels et applications.
Du côté de HackerOne, près de 150 000 dollars de primes aux bogues ont déjà été versés à ses hackers éthiques, avec des dizaines d'interventions au compteur. Plus de 400 hackers ont accepté de collaborer avec les entreprises, pour une prime moyenne de 1 714 dollars.
Glassdoor a par exemple accepté de payer le double de sa prime critique, soit jusqu'à 5 000 euros, si un pirate parvient à trouver des systèmes vulnérables à la faille Log4Shell référencée CVE-2021-44228 ; tandis que Hyatt a créé une catégorie « super-critique » dans son programme avec une prime de 25 000 dollars si un hacker éthique parvient à exécuter du code à distance. Le géant de la vidéoconférence Zoom a, lui, payé 45 000 dollars de primes, et la plateforme crypto Coinbase offre actuellement une prime de 30 000 dollars à tout spécialiste qui démontrerait que la société est vulnérable.
