Sujet : YesWeHack, une plateforme de sécurité participative.

Étiqueté : Bug Bounty, Log4Shell, Sécurité, SolarWinds

Ce sujet contient 0 réponse, 1 participant et a été mis à jour pour la dernière fois par Nicolas Coolman, le il y a 1 année et 4 mois.

Vous lisez 0 fil de discussion

Auteur

Messages
- 8 février 2022 à 11 h 23 min #38595
  
  Nicolas Coolman
  Maître des clés
  
  YesWeHack, une plateforme de sécurité participative.
  
  Sécurité participative : 8 chiffres sur l’essor de YesWeHack. Communauté, financement… l’activité de YesWeHack, la plateforme européenne de référence du bug bounty, a fortement progressé en 2021. Infographie. La multiplication des vulnérabilités découvertes en 2021 (SolarWind, Log4j…) a poussé davantage d’entreprises à intensifier leurs investissements dans la sécurité participative (crowdsourced security). (Sources)
  
  Une prime aux bogues (Bug Bounty) est un programme de récompenses proposé par de nombreux sites web et développeurs de logiciel qui offre des récompenses aux personnes qui rapportent des bogues, surtout ceux associés à des vulnérabilités. Cette prime permet de mobiliser une communauté d'experts dans le domaine de la cybersécurité pour rechercher les failles critiques qui exposent les utilisateurs aux violations de données.
  
  SolarWinds est une société américaine qui développe des logiciels professionnels permettant la gestion centralisée des réseaux, des systèmes et de l'infrastructure informatique.
  
  Solarwinds propose la surveillance des réseaux multifournisseurs pour détecter les défauts et les éventuels problèmes de performance et de disponibilité. Il assure une surveillance de tous les environnements Cloud privés, publics et hybrides. Il prend en charge le déploiement multifournisseur Cloud, virtuels ou physiques.
  
  En décembre 2020, une cyber attaque à grande échelle s'appuyant sur l'un des produit de SolarWinds appelé Orion, utilisé par environ 33 000 clients des secteurs public et privé, est divulguée. De nombreux acteurs, dont le secrétaire d'Etat des Etats-Unis considèrent qu'elle a été perpétrée par les services de renseignement russes.
  
  Log4Shell se présente comme une vulnérabilité informatique critique classée en Zero Day. Cette catégorie de faille se caractérise pour son absence de correctif. Découverte en 2021, cet exploit affecte la bibliothèque logicielle Apache Log4j et cible de nombreux serveurs d'entreprises qui ne sont pas à jour. Les cybercriminels tentent d'exploiter cette faille avant la fin du déploiement des correctifs de sécurité. La bibliothèque logicielle Apache Log4j est largement utilisée dans les services du cloud. Dans la pratique, cette vulnérabilité permet à un cyber-attaquant l'exécution de code arbitraire à distance. En 2022, les serveurs Horizon VMware non patchés et exposés à l'internet sont la cible de cyberattaques d'exploit Log4Shell.
  
  Nicolas Coolman
Auteur

Messages