Image : DHS / BleepingOrdinateur
Le Department of Homeland Security (DHS) a annoncé que le programme « Hack DHS » est désormais également ouvert aux chasseurs de primes de bugs désireux de traquer les systèmes DHS touchés par les vulnérabilités de Log4j.
« En réponse aux vulnérabilités log4j récemment découvertes, @DHSgov étend la portée de notre nouveau programme de primes aux bugs #HackDHS et inclut des incitations supplémentaires pour trouver et corriger les vulnérabilités liées à log4j dans nos systèmes », tweeté Secrétaire du DHS Alejandro N. Mayorkas.
« En partenariat avec des pirates informatiques approuvés, le gouvernement fédéral continuera à sécuriser les systèmes nationaux et à accroître la cyber-résilience partagée. »
Le programme de primes de bugs « Hack DHS » a été annoncé la semaine dernière. Il permet aux chercheurs en cybersécurité approuvés de trouver et de signaler les vulnérabilités dans les systèmes DHS externes, gagnant jusqu’à 5 000 $ de récompenses par bug signalé.
Les pirates informatiques inscrits à ce programme sont tenus de divulguer leurs découvertes ainsi que des informations détaillées sur la vulnérabilité, comment les attaquants peuvent potentiellement l’exploiter et comment les acteurs malveillants pourraient l’utiliser pour accéder aux informations des systèmes DHS.
Toutes les failles de sécurité signalées seront vérifiées par le DHS dans les 48 heures et corrigées en 15 jours ou plus, selon leur complexité.
Le DHS a lancé son premier programme pilote de bug bounty en 2019 après la SECURE Technology Act a été promulguée pour exiger l’établissement d’une politique de divulgation des vulnérabilités de sécurité et d’un programme de primes aux bugs.
La décision d’étendre le programme « Hack DHS » fait suite à une directive d’urgence émise par la CISA vendredi pour ordonner aux agences de l’exécutif fédéral civil de corriger le bug Log4Shell activement exploité et critique jusqu’au 23 décembre.
Les agences fédérales ont eu cinq jours supplémentaires jusqu’au 28 décembre pour signaler les produits Java impactés dans leurs environnements, y compris les noms des applications et des fournisseurs, les versions des applications et les mesures prises pour bloquer les tentatives d’exploitation.
CISA fournit un page dédiée pour la faille Log4Shell avec des informations de correctif pour les fournisseurs et les organisations concernées, et aujourd’hui, l’agence a publié un scanner Log4j pour trouver les applications vulnérables.
En collaboration avec les agences de cybersécurité du monde entier et d’autres agences fédérales américaines, la CISA a également publié un consultatif commun avec des conseils d’atténuation sur la résolution des failles de sécurité CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105 Log4j.