Faille Log4j : la chasse aux bogues et aux primes est ouverte !

20 décembre 2021 à 15h35
1
Log4j

Pour dénicher les failles dans leurs logiciels spécifiques à Log4j, les entreprises font pour beaucoup appel aux chasseurs de prime aux bogues, ou hackers éthiques.

Plus de 10 jours désormais après le signalement par l'éditeur Apache d'une faille de sécurité au niveau de criticité maximal dans le composant logiciel de journalisation Log4j, baptisée Log4Shell, les entreprises s'activent pour éviter les dommages, et certaines ont même accéléré ou lancé leurs primes aux bogues, de façon à identifier toute vulnérabilité potentielle dans leurs logiciels. Et cela fait le bonheur des hackers éthiques, qui n'en demandaient pas tant.

Tout faire pour rapidement se prémunir de l'exploitation de la faille Log4j

Certaines entreprises ont décidé de mettre tous les moyens à leur disposition pour dénicher des failles dans leurs logiciels. Il faut dire que la vulnérabilité Log4j peut être particulièrement nocive. Présente dans de très nombreux systèmes d'information utilisant le langage Java, elle peut aboutir à la prise de contrôle à distance, par un cybercriminel, d'une application visée, et peut même conduire à ce qu'il prenne le contrôle de la totalité du système d'information.

On sait désormais, et cela a été confirmé par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), que la faille est activement exploitée par des hackers, et ce dans un but évidemment malveillant. Il est donc dans l'intérêt des entreprises de procéder aux mises à jour urgentes de sécurité (Apache vient de déployer un correctif) et de vérifier voire de faire vérifier leurs applications potentiellement vulnérables.

Selon nos informations, diverses entreprises ont déjà lancé des primes aux bogues – ce que l'on appelle traditionnellement le Bug Bounty –, de façon à mettre des hackers, éthiques cette fois, aux trousses des failles dans leurs logiciels.

Les hackers éthiques s'activent pour dénicher des vulnérabilités et toucher des primes aux bogues

L'un des leaders du hacking éthique mondial, HackerOne, nous explique ce lundi que les derniers jours furent particulièrement chargés pour ses hackers éthiques. Plusieurs de ses clients de renom, comme le site d'emploi Glassdoor et la célèbre chaîne d'hôtels Hyatt, ont lancé des initiatives spécifiques à Log4j, afin que des hackers travaillent à l'identification de failles dans leurs différents logiciels et applications.

Du côté de HackerOne, près de 150 000 dollars de primes aux bogues ont déjà été versés à ses hackers éthiques, avec des dizaines d'interventions au compteur. Plus de 400 hackers ont accepté de collaborer avec les entreprises, pour une prime moyenne de 1 714 dollars.

Glassdoor a par exemple accepté de payer le double de sa prime critique, soit jusqu'à 5 000 euros, si un pirate parvient à trouver des systèmes vulnérables à la faille Log4Shell référencée CVE-2021-44228 ; tandis que Hyatt a créé une catégorie « super-critique » dans son programme avec une prime de 25 000 dollars si un hacker éthique parvient à exécuter du code à distance. Le géant de la vidéoconférence Zoom a, lui, payé 45 000 dollars de primes, et la plateforme crypto Coinbase offre actuellement une prime de 30 000 dollars à tout spécialiste qui démontrerait que la société est vulnérable.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
1
2
philou44300
Nous on a simplement remplacé les anciennes versions de log4j par les dernières versions en quelques jours sur toutes les applis concernées quitte à faire des montées de version de spring ou springboot. Mais au final, peu d’applis impactées car le loggeur par défaut de springboot (log4j-to-slf4j et log4j-api) n’est pas concernés car c’est log4j-core qui est concerné.
Voir tous les messages sur le forum

Derniers actualités

Idée cadeau | Insta360 X3 : une caméra spectaculaire
Vous devriez faire attention à vos données collectées depuis ces caméras et sonnettes connectées
Google One déploie son VPN gratuit sur les Pixel 7 et 7 Pro
Le Bitcoin est à bout de souffle, peut-il encore revenir ? La BCE n'y croit pas
Le télescope James Webb réussit à photographier les nuages de Titan autour de Saturne
Canal+ lance une nouvelle offre avec Disney+ et le nouveau Paramount + !
L'excellent SSD externe portable Samsung T7 1 To chute de prix avant Noël
Dernières heures du Black Friday : ne passez pas à côté de ces offres VPN !
Voici les meilleures applications de l'App Store en 2022
Haut de page