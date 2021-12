Homeland Security élargit son programme de primes pour le piratage du DHS, alors que la menace Log4j s'intensifie.



Si vous lisez ces lignes, il n'est probablement pas nécessaire de vous dire qu'un "bug bounty" est un prix en espèces payé aux chercheurs en sécurité qui trouvent une faille dans un logiciel. Les non-américains devront peut-être savoir que le terme "DHS" désigne le ministère américain de la sécurité intérieure. "Hack DHS" est le programme de primes aux bugs géré par l'agence, et "Log4j" est un progiciel de journalisation très populaire utilisé par des milliers d'applications qui a récemment été victime d'une faille de sécurité critique. On est tous au courant maintenant ?







Blague à part, que vous soyez un lecteur régulier de HotHardware ou non, vous êtes sûrement au courant de l'exploit de sécurité "Log4shell". D'abord découvert comme une farce de chat dans Minecraft, il a été rapidement constaté que la faille s'étendait à bien plus qu'un simple jeu de survie en blocs. CISA, l'agence américaine en charge des menaces de cybersécurité (et une subdivision du DHS), est toujours en alerte générale sur la faille, et Microsoft a même fait remarquer que des pirates parrainés par des États du monde entier tentent d'exploiter Log4shell. AMD, NVIDIA et Intel ont également publié des avis à ce sujet.



Le DHS a mis en place le programme Hack DHS il y a tout juste une semaine. Le groupe n'a pas précisé qu'il s'agissait d'une réponse à la vulnérabilité de Log4shell, mais c'était plusieurs jours après la divulgation publique de cette faille. (Le programme, plutôt que d'être une prime de bogue ouverte comme celles offertes par de nombreuses entreprises privées, est un programme fermé ouvert uniquement aux "chercheurs en cybersécurité sélectionnés" sur une base d'invitation. Le DHS demandera à ces "hackers" d'enquêter sur des systèmes externes spécifiques du DHS et d'identifier les vulnérabilités.



Hack DHS se déroule tout au long de l'année fiscale 2022 en trois phases. Dans la première phase, les chercheurs en sécurité "mèneront des évaluations virtuelles sur certains systèmes externes du DHS", puis dans la deuxième phase, ils participeront à "un événement de piratage en direct et en personne". Enfin, dans la troisième phase, le DHS identifiera et examinera les données, puis planifiera peut-être de futurs programmes de primes aux bugs.







L'annonce d'aujourd'hui émane directement du directeur du CISA, Jen Easterly, qui a publié la nouvelle sur Twitter. Essentiellement, il s'agit simplement d'ajouter des primes supplémentaires au programme Hack DHS pour les vulnérabilités Log4j. Si la principale faille de Log4j a déjà été corrigée (deux fois, car le premier correctif était lui-même défectueux), il reste encore des applications qui incluent Log4j et qui n'ont pas encore été mises à jour. De même, il peut toujours y avoir des systèmes individuels qui traînent et qui n'ont pas été correctement corrigés.



Bien entendu, il faut être présélectionné pour le programme Hack DHS afin de pouvoir bénéficier des primes, qui peuvent aller jusqu'à 5 000 dollars par bogue. Le DHS affirme qu'il vérifiera les failles dans les 48 heures suivant leur découverte et qu'elles seront corrigées en 15 jours, voire plus si les bogues sont particulièrement graves. Si vous souhaitez savoir ce que la CISA a à dire sur le sujet de Log4shell et des exploits connexes, l'agence tient à jour une page de conseils sur les vulnérabilités.



