en partie ensoleillé
DE | FR
Suisse
International

Faille «Log4j»: pourquoi tout internet a si peur

Les principaux acteurs technologiques, notamment Google, Amazon, Microsoft, Cisco et IBM, ont tous réalisé que plusieurs de leurs services étaient vulnérables face à la faille de Log4j.
Les principaux acteurs technologiques, notamment Google, Amazon, Microsoft, Cisco et IBM, ont tous réalisé que plusieurs de leurs services étaient vulnérables face à la faille de Log4j.keystone

Pourquoi tout Internet a si peur de la faille «Log4j»

Une importante faille de sécurité permet aux hackeurs de prendre le contrôle de célèbres applications. Des centaines de millions d'appareils sont probablement concernés. Voici quatre questions pour tout comprendre.
15.12.2021, 08:1715.12.2021, 16:41
Suivez-moi
Plus de «Suisse»

Sur Twitter, tout le monde en parle. Et depuis ce week-end, des milliers d'experts en sécurité informatique se démènent. Vendredi 10 décembre, un défaut de sécurité particulièrement inquiétant et facilement exploitable a en effet été rendu public. Connue sous le nom de «Log4Shell», la faille découverte dans le code «Log4j» expose certaines des applications et services mobiles les plus connus au monde à des attaques d'une ampleur potentiellement irrémédiable.

Mais qu'est-ce que le «Log4j»?

On va essayer de la faire simple. «Log4J» pour «LogForJ» est une abréviation signifiant «Logging for Java». Il s'agit d'un groupe de codes (que les spécialistes nomment plus précisément «une bibliothèque») utilisé dans un grand nombre de plates-formes, d'applications et de services mobiles et Web. Lorsque quelqu'un utilise une application, cela crée des événements qui conduisent un Log4j à générer des données. Lesquelles sont alors analysées par un langage de programmation - le plus connu étant «Java» - qui détermine de quelle action exacte il s'agit afin de l'exécuter; comme une tentative de connexion ou un envoi de message, par exemple.

Les développeurs d'application utilisent également cette bibliothèque. Notamment pour s’assurer qu’un logiciel fonctionne correctement ou alors pour noter dans une sorte de journal électronique des rapports d’erreur à chaque fois qu’un Log4j présente un problème.

Pourquoi le «Log4j» inquiète?

Le 24 novembre, un expert au sein de l’entreprise Alibaba, géant de la distribution en Chine, a signalé une vulnérabilité au cœur de l'outil de la fondation Apache. Selon lui: «la faille peut être exploitée sans chargement explicite de code malveillant, ce qui rend inopérante une grande partie des contre-mesures recommandées». En d'autres termes, il est possible d’utiliser le Log4j pour prendre le contrôle complet et à distance des serveurs utilisant cette bibliothèque. Cela, sans n'avoir aucun mot de passe requis. Et des applications qui utilisent cette bibliothèque à l'aide de Java, il n'y en a tant qu'il est impossible de toutes les compter.

«Si des cybercriminels parviennent à introduire leurs propres logiciels parasites, les données risquent d'être volées, voire pire»
heise.de

Les principaux acteurs technologiques, notamment Google, Amazon, Microsoft, Cisco et IBM, ont tous réalisé que plusieurs de leurs services étaient vulnérables face à la faille. Chacun s'est empressé de publier des correctifs et conseiller ses utilisateurs concernant la meilleure façon de procéder.

La dangerosité est telle que la directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures, Jen Easterly, a dû s'exprimer dans un communiqué. Elle a notamment relevé le fait que la faille était «l'une des plus graves» connue dans toute sa carrière, «si ce n'est la plus grave», a rapporté le média spécialisé Wired. Lors de ce même appel, un responsable de la Cisa, l'Agence pour la cybersécurité et la sécurité des infrastructures, a estimé que des centaines de millions d'appareils étaient probablement concernés.

Comment la Suisse réagit face à la faille «Log4Shell»?

Si pour l'heure, aucune attaque n’a pu être directement reliée à l’exploitation de cette faille par des pirates informatiques, le monde est aux aguets, et plus particulièrement la Suisse. Les experts de l'équipe gouvernementale intervenant en cas d'urgences informatiques (GovCERT) ont annoncé dimanche la procédure à suivre:

«Samedi soir, nous avons commencé à informer les organisations potentiellement concernées en Suisse des instances Log4j vulnérables accessibles depuis Internet»
gOVCERT.CH

Bien que la faille puisse être exploitée dans le cadre d'attaques ciblées sur des infrastructures critiques nationales telles que les approvisionnements en électricité, en pétrole, en gaz naturel ou en chauffage urbain et industriel, le GovCERT affirme n'avoir encore reçu aucun rapport à ce sujet.

«Les tentatives d'exploitation que nous avons observées jusqu'à présent visaient à utiliser des logiciels malveillants de masse comme Mirai, Kinsing, et Tsunami 3 (alias Muhstik). L'utilisation principale de ces botnets (un réseau de machines informatiques) est de lancer des attaques pour empêcher l'utilisation d'un logiciel («attaque DDoS») ou de miner des crypto-monnaies.
source: govcert.ch

Comment se protéger?

Cité par Wired, le chercheur indépendant en sécurité Chris Frohoff a estimé que les répercussions de cette découverte pourraient être ressenties pendant des années. Notamment parce que le hacking d'une telle bibliothèque peut être géré par n'importe qui «avec un peu d'expérience en code», insiste Mathis Hammel, un expert technique entretenu avec Le Monde.

Les experts de la Confédération conseillent aux responsables informatiques des organisations concernées de rapidement sécuriser leurs systèmes, avec des mises à jour supplémentaires. Raison pour laquelle ils recommandent aux utilisateurs de ne pas perdre de temps avant d'installer les prochaines mises à jour des logiciels utilisés.

Un collectionneur du crypto-art nous explique son délire
Video: watson
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Le mystérieux point commun entre Taylor Swift et Saddam Hussein
En cette année présidentielle, tout ce qui provient du gouvernement est considéré comme une «PsyOp», par les ultraconservateurs américains un brin paranoïaques. Qu'est-ce qui se cache derrière ce terme barbare utilisé par la CIA?

Taylor Swift a été réquisitionné par les services secrets pour faire triompher Joe Biden le 5 novembre prochain. Le Super Bowl a été truqué pour faire gagner les Chiefs de son chouchou Travis Kelce. Le réchauffement climatique, le soutien à l'Ukraine et même la couverture médiatique des tracas judiciaires de Donald Trump sont autant de complots orchestrés par le gouvernement démocrate pour asservir les foules américaines.

L’article