beau temps
DE | FR
Suisse
International

Faille «Log4j»: pourquoi tout internet a si peur

Les principaux acteurs technologiques, notamment Google, Amazon, Microsoft, Cisco et IBM, ont tous réalisé que plusieurs de leurs services étaient vulnérables face à la faille de Log4j.
Les principaux acteurs technologiques, notamment Google, Amazon, Microsoft, Cisco et IBM, ont tous réalisé que plusieurs de leurs services étaient vulnérables face à la faille de Log4j.keystone

Pourquoi tout Internet a si peur de la faille «Log4j»

Une importante faille de sécurité permet aux hackeurs de prendre le contrôle de célèbres applications. Des centaines de millions d'appareils sont probablement concernés. Voici quatre questions pour tout comprendre.
15.12.2021, 08:1715.12.2021, 16:41
Suivez-moi

Sur Twitter, tout le monde en parle. Et depuis ce week-end, des milliers d'experts en sécurité informatique se démènent. Vendredi 10 décembre, un défaut de sécurité particulièrement inquiétant et facilement exploitable a en effet été rendu public. Connue sous le nom de «Log4Shell», la faille découverte dans le code «Log4j» expose certaines des applications et services mobiles les plus connus au monde à des attaques d'une ampleur potentiellement irrémédiable.

Mais qu'est-ce que le «Log4j»?

On va essayer de la faire simple. «Log4J» pour «LogForJ» est une abréviation signifiant «Logging for Java». Il s'agit d'un groupe de codes (que les spécialistes nomment plus précisément «une bibliothèque») utilisé dans un grand nombre de plates-formes, d'applications et de services mobiles et Web. Lorsque quelqu'un utilise une application, cela crée des événements qui conduisent un Log4j à générer des données. Lesquelles sont alors analysées par un langage de programmation - le plus connu étant «Java» - qui détermine de quelle action exacte il s'agit afin de l'exécuter; comme une tentative de connexion ou un envoi de message, par exemple.

Les développeurs d'application utilisent également cette bibliothèque. Notamment pour s’assurer qu’un logiciel fonctionne correctement ou alors pour noter dans une sorte de journal électronique des rapports d’erreur à chaque fois qu’un Log4j présente un problème.

Pourquoi le «Log4j» inquiète?

Le 24 novembre, un expert au sein de l’entreprise Alibaba, géant de la distribution en Chine, a signalé une vulnérabilité au cœur de l'outil de la fondation Apache. Selon lui: «la faille peut être exploitée sans chargement explicite de code malveillant, ce qui rend inopérante une grande partie des contre-mesures recommandées». En d'autres termes, il est possible d’utiliser le Log4j pour prendre le contrôle complet et à distance des serveurs utilisant cette bibliothèque. Cela, sans n'avoir aucun mot de passe requis. Et des applications qui utilisent cette bibliothèque à l'aide de Java, il n'y en a tant qu'il est impossible de toutes les compter.

«Si des cybercriminels parviennent à introduire leurs propres logiciels parasites, les données risquent d'être volées, voire pire»
heise.de

Les principaux acteurs technologiques, notamment Google, Amazon, Microsoft, Cisco et IBM, ont tous réalisé que plusieurs de leurs services étaient vulnérables face à la faille. Chacun s'est empressé de publier des correctifs et conseiller ses utilisateurs concernant la meilleure façon de procéder.

La dangerosité est telle que la directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures, Jen Easterly, a dû s'exprimer dans un communiqué. Elle a notamment relevé le fait que la faille était «l'une des plus graves» connue dans toute sa carrière, «si ce n'est la plus grave», a rapporté le média spécialisé Wired. Lors de ce même appel, un responsable de la Cisa, l'Agence pour la cybersécurité et la sécurité des infrastructures, a estimé que des centaines de millions d'appareils étaient probablement concernés.

Comment la Suisse réagit face à la faille «Log4Shell»?

Si pour l'heure, aucune attaque n’a pu être directement reliée à l’exploitation de cette faille par des pirates informatiques, le monde est aux aguets, et plus particulièrement la Suisse. Les experts de l'équipe gouvernementale intervenant en cas d'urgences informatiques (GovCERT) ont annoncé dimanche la procédure à suivre:

«Samedi soir, nous avons commencé à informer les organisations potentiellement concernées en Suisse des instances Log4j vulnérables accessibles depuis Internet»
gOVCERT.CH

Bien que la faille puisse être exploitée dans le cadre d'attaques ciblées sur des infrastructures critiques nationales telles que les approvisionnements en électricité, en pétrole, en gaz naturel ou en chauffage urbain et industriel, le GovCERT affirme n'avoir encore reçu aucun rapport à ce sujet.

«Les tentatives d'exploitation que nous avons observées jusqu'à présent visaient à utiliser des logiciels malveillants de masse comme Mirai, Kinsing, et Tsunami 3 (alias Muhstik). L'utilisation principale de ces botnets (un réseau de machines informatiques) est de lancer des attaques pour empêcher l'utilisation d'un logiciel («attaque DDoS») ou de miner des crypto-monnaies.
source: govcert.ch

Comment se protéger?

Cité par Wired, le chercheur indépendant en sécurité Chris Frohoff a estimé que les répercussions de cette découverte pourraient être ressenties pendant des années. Notamment parce que le hacking d'une telle bibliothèque peut être géré par n'importe qui «avec un peu d'expérience en code», insiste Mathis Hammel, un expert technique entretenu avec Le Monde.

Les experts de la Confédération conseillent aux responsables informatiques des organisations concernées de rapidement sécuriser leurs systèmes, avec des mises à jour supplémentaires. Raison pour laquelle ils recommandent aux utilisateurs de ne pas perdre de temps avant d'installer les prochaines mises à jour des logiciels utilisés.

Un collectionneur du crypto-art nous explique son délire

Video: watson
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Armes suisses à l'Ukraine: le sondage qui gifle les «pacifistes»
Un sondage dimanche de la Neue Zürcher Zeitung montre qu'à l'exception de l'UDC, les électorats de tous les partis, Verts compris, sont pour la réexportation de matériels militaires suisses en Ukraine. Les enseignements pour l'avenir proche.

La Suisse est divisée. Nettement. Elle l’est d’une manière originale, à défaut d’être totalement inattendue, vu la nature du débat: la réexportation d’armes suisses vers l’Ukraine par des pays tiers.

Un sondage commandé par la Neue Zürcher Zeitung à l’institut Sotomo montre une UDC splendidement seule face au reste des partis politiques, y compris les Verts. Et l’on n’est pas dans de la demi-mesure, même si, chez les personnes favorables à la réexportation, la part des «plutôt pour» permet d’obtenir de solides majorités absolues, le «pour» proprement dit n’étant absolument majoritaire que chez les Vert’libéraux (58%). Globalement, le sondage fait apparaître 55% de «oui» à la réexpédition de matériels militaires suisses vers l'Ukraine – un résultat qui correspond à ce qu’il ressort du questionnaire soumis le 1er février par watson à ses lecteurs.

L’article