Révélée publiquement le 9 décembre, cette vulnérabilité est un danger pour les millions d’entreprises utilisant le logiciel dans lequel elle se trouve.
Une course contre la montre sur Internet pour régler un problème de taille. Le nom de ce dernier : Log4Shell. Il s’agit d’une faille zero-day, soit une vulnérabilité qui n’est pas connue ou corrigée par le fournisseur du service concerné. Rendue publique le jeudi 9 décembre, sa découverte – par Chen Zhaojun, un expert de l’entreprise chinoise Alibaba – remonte au 24 novembre. Elle a été communiquée à Apache, la fondation qui produit le logiciel impliqué dans la faille. Celui-ci est connu sous le nom de Log4j, il est utilisé par plusieurs services et applications dans le monde comme Microsoft, Twitter, Apple, le magasin de jeux vidéo Steam ou encore le jeu populaire Minecraft.
Log4j est une bibliothèque de journalisation. Autrement dit, elle permet d’enregistrer les activités (« logs ») d’une application, comme la saisie d’un mauvais mot de passe par erreur. La vulnérabilité qui s’y trouve inquiète car si elle est exploitée, elle permet d’exécuter du code à distance sur des serveurs vulnérables. Un attaquant aurait ainsi la possibilité d’importer des logiciels malveillants qui compromettraient les machines.
Une mise à jour nécessaire pour se protéger
Un correctif a depuis été développé par Apache, mais Log4Shell représente toujours un danger pour les services qui ne l’ont pas encore installé en faisant une mise à jour. En France, le centre d’alerte et de réponse aux attaques informatiques recommande d’ailleurs d’utiliser la nouvelle version de Log4j pour bénéficier du correctif et ainsi être protégé contre la vulnérabilité. Par ailleurs, certains estiment que la panique autour de cette faille ne va pas durer. « Dans un mois, on n’en parlera probablement plus, ça sera résiduel », a récemment déclaré Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), considérant tout de même la faille « grave ». Il est, en outre, inquiet que celle-ci « ait été exploitée depuis beaucoup plus longtemps qu’on ne l’imagine ».
Des personnes ont d’ailleurs déjà essayé d’exploiter cette faille selon des experts en sécurité informatique. D’après Matthew Prince, le PDG de Cloudflare, les premières exploitations remontent au 1er décembre. De son côté, la société Sophos affirme avoir détecté des centaines de milliers de tentatives depuis le 9 décembre pour exécuter du code à distance par le biais de cette vulnérabilité.
Lire aussi
