Les hackers éthiques, ou chasseurs de vulnérabilités, ont leur utilité quand les entreprises ne peuvent asurer seules la détection de failles potentielles dans leur système informatique. Dans le cas de celle qui a été dévoilée récemment sur Log4J, elle l’est même particulièrement. Car cette librairie est enfouie dans de très nombreuses solutions logicielles et services Cloud, faisant peser une menace de piratage sur une multitude d’entreprises, alors qu’elle est désormais activement exploitée de manière malveillante par des attaquants.
Le danger est particulièrement important, car des millions d’applications utilisent Log4j. Celles développées et maintenues par l’entreprise, celles qu’elle a acquises…. Lesquelles pourraient être affectées ? La recherche de tous les systèmes vulnérables à cause de la faille Log4Shell est un impératif. C’est là que rentrent en jeu les chasseurs de bugs.
HackerOne, une plateforme de coordination des vulnérabilités et de correction des bugs qui relie les entreprises aux testeurs de pénétration et aux chercheurs en cybersécurité, a ainsi vu les rapports de ses hackers augmenter ainsi que les primes délivrées. “On observe depuis quelques jours de nouvelles tendances dans ce domaine“, indique la plateforme. Plus de 400 hackers ont soumis leurs rapport. Au total, 75 rapports ont été récompensés par un “bounty” (chasse au bug), avec un total de 142 250 $ payés (1 896 $ en moyenne).
Des primes plus importantes qui s’adaptent à l’enjeu
Dans le cadre de leurs programmes de primes aux bugs, plusieurs clients de la plateforme ont même lancé des initiatives spécifiques à Log4j à l’intention des hackers qui travaillent à l’identification de failles ou veulent s’y mettre. Parmi eux, le site d’emploi Glassdoor, la chaîne d’hôtels Hyatt et la plateforme de cryptomonnaie Coinbase. Ce dernier offre une prime de 30 000 $ si un chercheur peut démontrer que l’entreprise est vulnérable à ce problème. Glassdoor paiera le double de sa prime critique – jusqu’à 5 000 $ – si un pirate trouve des systèmes vulnérables à log4shell (CVE-2021-44228). Quant à Hyatt, il a créé une catégorie super-critique pour l’exécution réussie de code à distance de CVE-2021-44228 sur tous les actifs concernés. “Le gain pour cette catégorie sera de 25 000 $“, indique HackerOne .