LE DÉPARTEMENT DE LA DÉFENSE DES ÉTATS-UNIS DÉCERNE LE TITRE DE « CHERCHEUR DU MOIS » À UN CHASSEUR DE BUG

Posté le novembre 10, 2020 à 16:37

LE DÉPARTEMENT DE LA DÉFENSE DES ÉTATS-UNIS DÉCERNE LE TITRE DE « CHERCHEUR DU MOIS » À UN CHASSEUR DE BUG

Un chercheur en sécurité de la société de sécurité américaine Silent Breach, Jeff Steinburg, a aidé le ministère de la défense des États-Unis(DOD) à découvrir une vulnérabilité, ce qui a permis d’éviter une violation de taille.

La vulnérabilité, si elle avait été découverte par les acteurs malveillants, aurait permis aux hackers de pirater les comptes du DOD. Les acteurs malveillants n’ont qu’à modifier certains paramètres pour accéder au serveur du DOD. Mais le rapport opportun de Seinburg a permis d’éviter une telle menace.

Cette importante bogue aurait permis aux hackers de détourner des comptes DOD en modifiant seulement quelques paramètres dans les requêtes web envoyées aux serveurs du DOD.

Son rapport opportun a été reçu par le programme de divulgation des vulnérabilités du DOD (VDP), et le bogue a reçu une note de gravité « Critique (9 – 10) ». L’exploitation et la prise de contrôle de n’importe quel serveur de la Défense choisi par l’attaquant nécessitent très peu de compétences techniques. Sans le rapport opportun de Steinburg, le bogue se serait facilement propagé.

Tous les détails concernant le bogue ne sont pas divulgués pour des raisons de sécurité

Bien que ce rapport de bug soit la première fois que M. Steinburg participe au rapport du politique de divulgation de vulnérabilités (VDP) du ministère de la Défense, il lui a tout de même valu le prix de « Chercheur du mois » en raison de la gravité et de l’importance du problème signalé. Cela a évité au DOD beaucoup d’ennuis et de maux de tête, car le département aurait dû s’occuper de nombreux problèmes de sécurité si les attaquants découvraient la vulnérabilité.

 « Les IDORs signalés ont permis la divulgation d’informations non autorisées et la prise de contrôle de comptes non authentifiés », a annoncé le DOD sur sa page Twitter.

Bien que le département ait divulgué aujourd’hui quelques détails sur la vulnérabilité, il a déclaré qu’il se réserverait des divulgations complètes pour protéger la sécurité du réseau du DOD.

Selon le rapport de synthèse du bogue, il a été considéré comme une vulnérabilité étiquetée Insecure Direct Object References (IDOR). Il s’agit d’une vulnérabilité typique où les contrôles de sécurité d’une application sont incomplets, ce qui permet aux acteurs malveillants de modifier certains paramètres sans aucun contrôle d’identité supplémentaire.

Dans ce cas, la vulnérabilité aurait permis à l’attaquant d’envoyer une véritable requête web au site du DOD, en modifiant le nom d’utilisateur et les paramètres d’identification. Cela aurait permis à l’attaquant de modifier les mots de passe des comptes des utilisateurs du DOD, leur permettant de prendre le contrôle des comptes et d’infiltrer le réseau du DOD par la suite.

Aujourd’hui, il est très facile de découvrir les bugs d’IDOR grâce à la disponibilité d’une large gamme d’outils qui les rendent moins longs à découvrir.

Selon John Jackson, ingénieur en sécurité des applications chez Shutterstock, la plupart de ces vulnérabilités permettent aux attaquants d’altérer des paramètres inoffensifs et de modifier les paramètres des comptes.

« Les vulnérabilités Insecure Direct Object Reference sont ces bogues discrets et sous-estimés, et pourtant ils ne sont pas rares », a rappelé John Jackson.

Ces paramètres de compte peuvent ne pas avoir un effet critique sur les systèmes, mais certaines violations d’IDOR peuvent avoir un impact sévère lorsque les bogues sont localisés dans des éléments de compte très sensibles comme les emails de paiement ou de récupération de compte et les mots de passe.

La chasse aux bugs devient lucrative

Afin d’offrir une meilleure protection contre leurs systèmes, plusieurs entreprises et organisations ont mis en place des programmes de primes aux bugs pour les chercheurs en sécurité. Cette idée donne aux chercheurs en sécurité la liberté de rechercher des vulnérabilités dans leur système et de les signaler avant que les acteurs malveillants ne trouvent les bogues.

Les chercheurs sont rémunérés pour leurs efforts tandis que l’entreprise qui organise la prime prévient les risques de sécurité.

En août, deux chasseurs de bogues indiens ont reçu une compensation de 20 000 dollars du programme d’Apple pour avoir découvert des bogues dans le système d’Apple.

La plupart des géants de la technologie ont mis en place leurs programmes de chasse aux bugs pour récompenser les chercheurs qui découvrent des bugs qualifiés de trop dangereux pour ne pas être détectés.

Les différents programmes de primes aux bugs tels que Bugcrowd et HackerOne fonctionnent comme des liens entre les entreprises et les chercheurs en sécurité.

Lancé l’année dernière, le programme de prime au bug d’Apple Security peut verser à un chercheur jusqu’à 1,5 million de dollars en primes sur les bugs, ce qui est le montant le plus élevé au monde.

Certains des chasseurs de bugs ont déjà pris l’exercice comme un emploi à plein temps. HackerOne est une organisation qui emploie des chercheurs en sécurité et des chasseurs de bugs. L’association a découvert plus de 123 000 vulnérabilités de sécurité et a aidé ses hackers à gagner plus de 62 millions de dollars. Plusieurs autres chasseurs de bugs indépendants se débrouillent plutôt bien et aident les entreprises à protéger leurs systèmes.

Summary
LE DÉPARTEMENT DE LA DÉFENSE DES ÉTATS-UNIS DÉCERNE LE TITRE DE "CHERCHEUR DU MOIS" À UN CHASSEUR DE BUG
Article Name
LE DÉPARTEMENT DE LA DÉFENSE DES ÉTATS-UNIS DÉCERNE LE TITRE DE "CHERCHEUR DU MOIS" À UN CHASSEUR DE BUG
Description
Un chercheur en sécurité de la société de sécurité américaine Silent Breach, Jeff Steinburg, a aidé le ministère de la défense des États-Unis (DOD) à découvrir une vulnérabilité, ce qui a permis d'éviter une violation de taille.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading