DE | FR
Les principaux acteurs technologiques, notamment Google, Amazon, Microsoft, Cisco et IBM, ont tous réalisé que plusieurs de leurs services étaient vulnérables face à la faille de Log4j.
Les principaux acteurs technologiques, notamment Google, Amazon, Microsoft, Cisco et IBM, ont tous réalisé que plusieurs de leurs services étaient vulnérables face à la faille de Log4j.keystone

Pourquoi tout Internet a si peur de la faille «Log4j»

Une importante faille de sécurité permet aux hackeurs de prendre le contrôle de célèbres applications. Des centaines de millions d'appareils sont probablement concernés. Voici quatre questions pour tout comprendre.
15.12.2021, 08:1715.12.2021, 16:41
Suivez-moi

Sur Twitter, tout le monde en parle. Et depuis ce week-end, des milliers d'experts en sécurité informatique se démènent. Vendredi 10 décembre, un défaut de sécurité particulièrement inquiétant et facilement exploitable a en effet été rendu public. Connue sous le nom de «Log4Shell», la faille découverte dans le code «Log4j» expose certaines des applications et services mobiles les plus connus au monde à des attaques d'une ampleur potentiellement irrémédiable.

Mais qu'est-ce que le «Log4j»?

On va essayer de la faire simple. «Log4J» pour «LogForJ» est une abréviation signifiant «Logging for Java». Il s'agit d'un groupe de codes (que les spécialistes nomment plus précisément «une bibliothèque») utilisé dans un grand nombre de plates-formes, d'applications et de services mobiles et Web. Lorsque quelqu'un utilise une application, cela crée des événements qui conduisent un Log4j à générer des données. Lesquelles sont alors analysées par un langage de programmation - le plus connu étant «Java» - qui détermine de quelle action exacte il s'agit afin de l'exécuter; comme une tentative de connexion ou un envoi de message, par exemple.

Les développeurs d'application utilisent également cette bibliothèque. Notamment pour s’assurer qu’un logiciel fonctionne correctement ou alors pour noter dans une sorte de journal électronique des rapports d’erreur à chaque fois qu’un Log4j présente un problème.

Pourquoi le «Log4j» inquiète?

Le 24 novembre, un expert au sein de l’entreprise Alibaba, géant de la distribution en Chine, a signalé une vulnérabilité au cœur de l'outil de la fondation Apache. Selon lui: «la faille peut être exploitée sans chargement explicite de code malveillant, ce qui rend inopérante une grande partie des contre-mesures recommandées». En d'autres termes, il est possible d’utiliser le Log4j pour prendre le contrôle complet et à distance des serveurs utilisant cette bibliothèque. Cela, sans n'avoir aucun mot de passe requis. Et des applications qui utilisent cette bibliothèque à l'aide de Java, il n'y en a tant qu'il est impossible de toutes les compter.

«Si des cybercriminels parviennent à introduire leurs propres logiciels parasites, les données risquent d'être volées, voire pire»
heise.de

Les principaux acteurs technologiques, notamment Google, Amazon, Microsoft, Cisco et IBM, ont tous réalisé que plusieurs de leurs services étaient vulnérables face à la faille. Chacun s'est empressé de publier des correctifs et conseiller ses utilisateurs concernant la meilleure façon de procéder.

La dangerosité est telle que la directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures, Jen Easterly, a dû s'exprimer dans un communiqué. Elle a notamment relevé le fait que la faille était «l'une des plus graves» connue dans toute sa carrière, «si ce n'est la plus grave», a rapporté le média spécialisé Wired. Lors de ce même appel, un responsable de la Cisa, l'Agence pour la cybersécurité et la sécurité des infrastructures, a estimé que des centaines de millions d'appareils étaient probablement concernés.

Comment la Suisse réagit face à la faille «Log4Shell»?

Si pour l'heure, aucune attaque n’a pu être directement reliée à l’exploitation de cette faille par des pirates informatiques, le monde est aux aguets, et plus particulièrement la Suisse. Les experts de l'équipe gouvernementale intervenant en cas d'urgences informatiques (GovCERT) ont annoncé dimanche la procédure à suivre:

«Samedi soir, nous avons commencé à informer les organisations potentiellement concernées en Suisse des instances Log4j vulnérables accessibles depuis Internet»
gOVCERT.CH

Bien que la faille puisse être exploitée dans le cadre d'attaques ciblées sur des infrastructures critiques nationales telles que les approvisionnements en électricité, en pétrole, en gaz naturel ou en chauffage urbain et industriel, le GovCERT affirme n'avoir encore reçu aucun rapport à ce sujet.

«Les tentatives d'exploitation que nous avons observées jusqu'à présent visaient à utiliser des logiciels malveillants de masse comme Mirai, Kinsing, et Tsunami 3 (alias Muhstik). L'utilisation principale de ces botnets (un réseau de machines informatiques) est de lancer des attaques pour empêcher l'utilisation d'un logiciel («attaque DDoS») ou de miner des crypto-monnaies.
source: govcert.ch

Comment se protéger?

Cité par Wired, le chercheur indépendant en sécurité Chris Frohoff a estimé que les répercussions de cette découverte pourraient être ressenties pendant des années. Notamment parce que le hacking d'une telle bibliothèque peut être géré par n'importe qui «avec un peu d'expérience en code», insiste Mathis Hammel, un expert technique entretenu avec Le Monde.

Les experts de la Confédération conseillent aux responsables informatiques des organisations concernées de rapidement sécuriser leurs systèmes, avec des mises à jour supplémentaires. Raison pour laquelle ils recommandent aux utilisateurs de ne pas perdre de temps avant d'installer les prochaines mises à jour des logiciels utilisés.

Un collectionneur du crypto-art nous explique son délire

Plus d'articles sur les dernières cyberattaques

Une nouvelle commune vaudoise a été victime de cyberattaque

Link zum Artikel

Rolle a été piratée: des gigaoctets de données disponibles sur le darknet

Link zum Artikel

Le site suisse Comparis à son tour victime d'une cyberattaque

Link zum Artikel

Vous vous êtes fait pirater vos données? Voici comment vous en sortir

Link zum Artikel
Pas de Conseil fédéral aux JO: «C'est la solution de facilité»
Le Conseil fédéral ne se rendra pas à Pékin pour les Jeux olympiques, officiellement à cause du Covid-19. Même si la raison est considérée comme un prétexte, cette décision ravit les détracteurs de la Chine.

Le Conseil fédéral a tranché: il n'enverra aucun de ses représentants aux Jeux olympiques de Pékin. Comme les Etats-Unis et la Grande-Bretagne, pour ne citer qu'eux. Mais la raison, officielle du moins, n'est pas la même que celle de ces deux pays qui boycottent le gouvernement chinois pour sa politique envers les minorités, ouïghoure notamment.

L’article