Log4Shell, la faille informatique qui fait trembler le web

On risque d’en subir les répercussions pendant des mois », assure Axel Legay, professeur en cybersécurité à l’UCLouvain. La découverte d’une faille de sécurité il y a quelques jours a fait trembler le web sur ses fondations. C’est Chen Zhaojun, un chercheur de la société de commerce en ligne Alibaba, qui a découvert la faille et a alerté le monde de la cybersécurité le 24 novembre dernier. La faille, rendue publique le 10 décembre dernier, a été évaluée à un niveau de menace de 10/10 par le Common Vulnerabilities and Exposures. On ne fait pas plus haut sur l’échelle de Richter du risque informatique. Et ce tremblement de terre a fait vaciller quelques géants. Ainsi, Microsoft, IBM, certains services d’Amazon ou Tesla ont été exposés. Par mesure de précaution, les gouvernements canadiens et québécois ont même fait fermer pas loin de 4.000 sites gouvernementaux. Concrètement, la faille permet aux personnes mal intentionnées de pénétrer incognito dans les serveurs pour y exécuter du code malveillant. Elle touche un bout de code open source tellement pratique et en dehors de tout soupçon qu’il est présent dans une très large part des sites web. Le nom de la faille ? Log4Shell, du nom des lignes de code exposé : Log4J. Log4J est une bibliothèque codée en Java utilisée par les applications web. « On peut voir cette bibliothèque comme un journal des évènements de l’application, explique Jean-Michel Dricot, professeur de cybersécurité à l’ULB. Cela permet de consigner que telle personne s’est connectée au service à telle heure et a exécuté telle application. C’est ce que l’on appelle un log des infos. Cette bibliothèque est si simple, si efficace et open source, qu’on la retrouve dans la plupart des applications en ligne ». De nombreuses PME menacées Cette bibliothèque est même un des piliers des sites modernes. Une omniprésence qui multiplie bien entendu les risques. « D’habitude, lorsque l’on découvre une faille aussi critique, elle est circonscrite dans une application ou au sein d’un service particulier. Ici, l’outil d’Apache (l’ONG derrière l’outil, NDLR) est si répandu que de très nombreuses entreprises risquent d’être compromises, déplore Axel Legay. Et il faudra sans doute pas mal de temps avant que tous les correctifs ne soient déployés ». D’autant plus qu’il n’est pas rare qu’une entreprise utilise le code défaillant sans même le savoir, via des logiciels externes. « Les PME et plus petites entreprises font souvent appel à des prestataires extérieurs pour leur réseau. Etant donné l’omniprésence de Log4J, nombreux sont ces derniers à l’utiliser. Et il faut que chaque prestataire publie son correctif afin que l’utilisateur final, l’entreprise, soit en sécurité ». Déjà, les premiers effets de Log4Shell se font sentir. « Une analyse de Checkpoint, une des sociétés leaders de cybersécurité, a déjà identifié plus de 2 millions de tentatives d’exploitation de la faille, relate Jean-Michel Dricot. Et il y a des rapports qui font déjà état de groupes malveillants qui ont implanté des malwares ou des cryptolockers en vue d’extorquer des entreprises ou destinés à utiliser de la puissance de calcul afin de miner des cryptomonnaies. On imagine aussi sans peine que les groupes de pirates puissent dérober des données et des documents sensibles. Ces failles sont rarement non exploitées ». Mais même une fois les mises à jour effectuées, les boites touchées ne sont pas sorties d’affaire. Une fois la brèche d’une coque de bateau colmatée, il faut encore vider l’eau de la cale. « Il est encore trop tôt pour mesurer l’impact concret de cette faille. Néanmoins, il n’est pas rare qu’un groupe malveillant qui a réussi à pénétrer un système informatique se fasse oublier quelque temps, avant de passer à l’action », note Katrien Eggers, porte-parole du Centre pour la cybersécurité en Belgique (CCB). Un scénario catastrophe constituerait donc en une avalanche de ransomware et autres compromissions dans les semaines et mois à venir. Une sorte de séisme qui débuterait par ses répliques. Pour les experts en sécurité informatique, les vacances de fin d’années seront à l’évidence mouvementées.

Votre compte

Log4Shell, la faille informatique qui fait trembler le web

Découvrez la suite, 1€ pour 1 mois (sans engagement)

Le fil info

1 Commentaire

Aussi en Techno

Jeux vidéo: bientôt des GTA et Red Dead Redemption sur mobile?

Ordinateur pliable, lunettes-écran... ce qu’on a retenu du CES

Le métavers, un monde virtuel sans limites (pour la pub)

Les assistants virtuels, toujours aussi gadgets, toujours aussi inutiles?

Les tendances de la tech en 2022

Allez au-delà de l'actualité

À la Une

Info « Le Soir » Sports, horeca, événements, jeunesse: voici le projet de baromètre covid

Coronavirus: un tiers des testés sont positifs, 200 personnes hospitalisées chaque jour

L’usure des infirmiers: «J’ai été dégoûtée du métier. Complètement»

Open d’Australie: Elise Mertens rejoint le deuxième tour et affrontera la Roumaine Begu

L’AFCN valide l’hypothétique maintien de réacteurs nucléaires en 2025

Une anti-IVG favorite pour la présidence du Parlement européen

Recalé après un entretien? Voici 4 conseils pour aller de l'avant

2022 : qu'en est-il de l'indexation de mon salaire?

La question de la diversité

Les sections du site

Les services

Groupe Rossel