Faille Log4j : la chasse aux bogues et aux primes est ouverte !

20 décembre 2021 à 15h35
1
Log4j

Pour dénicher les failles dans leurs logiciels spécifiques à Log4j, les entreprises font pour beaucoup appel aux chasseurs de prime aux bogues, ou hackers éthiques.

Plus de 10 jours désormais après le signalement par l'éditeur Apache d'une faille de sécurité au niveau de criticité maximal dans le composant logiciel de journalisation Log4j, baptisée Log4Shell , les entreprises s'activent pour éviter les dommages, et certaines ont même accéléré ou lancé leurs primes aux bogues, de façon à identifier toute vulnérabilité potentielle dans leurs logiciels. Et cela fait le bonheur des hackers éthiques, qui n'en demandaient pas tant.

Tout faire pour rapidement se prémunir de l'exploitation de la faille Log4j

Certaines entreprises ont décidé de mettre tous les moyens à leur disposition pour dénicher des failles dans leurs logiciels. Il faut dire que la vulnérabilité Log4j peut être particulièrement nocive. Présente dans de très nombreux systèmes d'information utilisant le langage Java, elle peut aboutir à la prise de contrôle à distance, par un cybercriminel, d'une application visée, et peut même conduire à ce qu'il prenne le contrôle de la totalité du système d'information.

On sait désormais, et cela a été confirmé par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), que la faille est activement exploitée par des hackers, et ce dans un but évidemment malveillant. Il est donc dans l'intérêt des entreprises de procéder aux mises à jour urgentes de sécurité (Apache vient de déployer un correctif) et de vérifier voire de faire vérifier leurs applications potentiellement vulnérables.

Selon nos informations, diverses entreprises ont déjà lancé des primes aux bogues – ce que l'on appelle traditionnellement le Bug Bounty –, de façon à mettre des hackers, éthiques cette fois, aux trousses des failles dans leurs logiciels.

Les hackers éthiques s'activent pour dénicher des vulnérabilités et toucher des primes aux bogues

L'un des leaders du hacking éthique mondial, HackerOne, nous explique ce lundi que les derniers jours furent particulièrement chargés pour ses hackers éthiques. Plusieurs de ses clients de renom, comme le site d'emploi Glassdoor et la célèbre chaîne d'hôtels Hyatt, ont lancé des initiatives spécifiques à Log4j, afin que des hackers travaillent à l'identification de failles dans leurs différents logiciels et applications.

Du côté de HackerOne, près de 150 000 dollars de primes aux bogues ont déjà été versés à ses hackers éthiques, avec des dizaines d'interventions au compteur. Plus de 400 hackers ont accepté de collaborer avec les entreprises, pour une prime moyenne de 1 714 dollars.

Glassdoor a par exemple accepté de payer le double de sa prime critique, soit jusqu'à 5 000 euros, si un pirate parvient à trouver des systèmes vulnérables à la faille Log4Shell référencée CVE-2021-44228 ; tandis que Hyatt a créé une catégorie « super-critique » dans son programme avec une prime de 25 000 dollars si un hacker éthique parvient à exécuter du code à distance. Le géant de la vidéoconférence Zoom a, lui, payé 45 000 dollars de primes, et la plateforme crypto Coinbase offre actuellement une prime de 30 000 dollars à tout spécialiste qui démontrerait que la société est vulnérable.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
2
philou44300
Nous on a simplement remplacé les anciennes versions de log4j par les dernières versions en quelques jours sur toutes les applis concernées quitte à faire des montées de version de spring ou springboot. Mais au final, peu d’applis impactées car le loggeur par défaut de springboot (log4j-to-slf4j et log4j-api) n’est pas concernés car c’est log4j-core qui est concerné.
Voir tous les messages sur le forum

Lectures liées

Bandai Namco ferme les serveurs PVP de Dark Souls en urgence à cause d'une faille de sécurité critique
Avec son offre à -60%, Bitdefender vous propose le meilleur des antivirus à petit prix !
CyberGhost VPN casse le prix de son abonnement à 1,89€/mois pendant 3 ans !
Un antivirus efficace et pas cher ? Profitez d'un abonnement Bitdefender à -60%
Norton fait les soldes ! En quoi ses antivirus à -60% est une aubaine ?
Crypto.com piraté, des centaines de comptes touchés et plusieurs millions de dollars dans la nature
La Croix-Rouge se fait voler les données de plus de 500 000 personnes hautement vulnérables
Rends l'argent ! Cacophonie et négociations après un vol de 3 millions de dollars en crypto
Norton casse les prix de ses antivirus ! Pourquoi se décider à les installer ?
Pegasus utilisé par la police israélienne pour surveiller les citoyens ?
Haut de page