Sur Twitter, tout le monde en parle. Et depuis ce week-end, des milliers d'experts en sécurité informatique se démènent. Vendredi 10 décembre, un défaut de sécurité particulièrement inquiétant et facilement exploitable a en effet été rendu public. Connue sous le nom de «Log4Shell», la faille découverte dans le code «Log4j» expose certaines des applications et services mobiles les plus connus au monde à des attaques d'une ampleur potentiellement irrémédiable.
On va essayer de la faire simple. «Log4J» pour «LogForJ» est une abréviation signifiant «Logging for Java». Il s'agit d'un groupe de codes (que les spécialistes nomment plus précisément «une bibliothèque») utilisé dans un grand nombre de plates-formes, d'applications et de services mobiles et Web. Lorsque quelqu'un utilise une application, cela crée des événements qui conduisent un Log4j à générer des données. Lesquelles sont alors analysées par un langage de programmation - le plus connu étant «Java» - qui détermine de quelle action exacte il s'agit afin de l'exécuter; comme une tentative de connexion ou un envoi de message, par exemple.
Les développeurs d'application utilisent également cette bibliothèque. Notamment pour s’assurer qu’un logiciel fonctionne correctement ou alors pour noter dans une sorte de journal électronique des rapports d’erreur à chaque fois qu’un Log4j présente un problème.
Le 24 novembre, un expert au sein de l’entreprise Alibaba, géant de la distribution en Chine, a signalé une vulnérabilité au cœur de l'outil de la fondation Apache. Selon lui: «la faille peut être exploitée sans chargement explicite de code malveillant, ce qui rend inopérante une grande partie des contre-mesures recommandées». En d'autres termes, il est possible d’utiliser le Log4j pour prendre le contrôle complet et à distance des serveurs utilisant cette bibliothèque. Cela, sans n'avoir aucun mot de passe requis. Et des applications qui utilisent cette bibliothèque à l'aide de Java, il n'y en a tant qu'il est impossible de toutes les compter.
Les principaux acteurs technologiques, notamment Google, Amazon, Microsoft, Cisco et IBM, ont tous réalisé que plusieurs de leurs services étaient vulnérables face à la faille. Chacun s'est empressé de publier des correctifs et conseiller ses utilisateurs concernant la meilleure façon de procéder.
La dangerosité est telle que la directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures, Jen Easterly, a dû s'exprimer dans un communiqué. Elle a notamment relevé le fait que la faille était «l'une des plus graves» connue dans toute sa carrière, «si ce n'est la plus grave», a rapporté le média spécialisé Wired. Lors de ce même appel, un responsable de la Cisa, l'Agence pour la cybersécurité et la sécurité des infrastructures, a estimé que des centaines de millions d'appareils étaient probablement concernés.
Si pour l'heure, aucune attaque n’a pu être directement reliée à l’exploitation de cette faille par des pirates informatiques, le monde est aux aguets, et plus particulièrement la Suisse. Les experts de l'équipe gouvernementale intervenant en cas d'urgences informatiques (GovCERT) ont annoncé dimanche la procédure à suivre:
Bien que la faille puisse être exploitée dans le cadre d'attaques ciblées sur des infrastructures critiques nationales telles que les approvisionnements en électricité, en pétrole, en gaz naturel ou en chauffage urbain et industriel, le GovCERT affirme n'avoir encore reçu aucun rapport à ce sujet.
Cité par Wired, le chercheur indépendant en sécurité Chris Frohoff a estimé que les répercussions de cette découverte pourraient être ressenties pendant des années. Notamment parce que le hacking d'une telle bibliothèque peut être géré par n'importe qui «avec un peu d'expérience en code», insiste Mathis Hammel, un expert technique entretenu avec Le Monde.
Les experts de la Confédération conseillent aux responsables informatiques des organisations concernées de rapidement sécuriser leurs systèmes, avec des mises à jour supplémentaires. Raison pour laquelle ils recommandent aux utilisateurs de ne pas perdre de temps avant d'installer les prochaines mises à jour des logiciels utilisés.