Bug Bounty chez les pirates

Posted On 17 Sep 2022

Les pirates informatiques du groupe LockBit 3.0 annoncent les premières primes offertes dans leur Bug Bounty et remercient … un agent du FBI !

Le Bug Bounty, la chasse au bug, est un « concours » mis en place par une société qui souhaite faire appel, en toute l’égalité, à des hackers éthiques afin de lui remonter des vulnérabilités. En cas de découverte, la société verse une prime à l’inventeur de la faille : cadeau, argent, etc.

Chez les pirates, c’est pareil ! Les black hats du groupe LockBit 3.0 annonce les premières primes offertes dans leur Bug Bounty !

Le 6 juillet 2022, le premier paiement de prime de 50 000 dollars a été effectué. Un internaute a proposé ses services pour corriger une faille dans l’outil malveillant des pirates !

Le bug était qu’il était possible de décrypter gratuitement n’importe quel fichier vmdk ou vhdx, puisque le début de ces fichiers commençait par des zéros. « Afin de minimiser les dommages et l’impact des paiements pour le décrypteur de la part des entreprises actuellement attaquées, il a été décidé de reporter l’annonce publique du prix à ce jour. » explique les voyous ! En gros, si la faille avait été connue, plus de paiement pour LockBit 3.0.

Toujours aussi – troll -, LockBit remercie un agent du FBI « et contributeur Coverware, affiche LockBit, qui me tient au courant des dernières informations. Grâce aux informations d’initiés, nous avons appris les faiblesses et les bogues des systèmes de cryptage de nos concurrents. »

Ce n’est pas la première fois que des « internautes » souhaitent apporter leur aide à des groupes de ransomware. Nous avons connu les jeux concours mis en place par des groupes tels que Netwalker ou encore des dealers de coke ; je vous révélais, il y a 3 ans, comment des internautes proposaient leur service de traduction pour les messages des pirates du groupe Sodinokibi ; d’autres bug bounty existent chez les pirates comme j’ai pu vous le monter ici et là.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.