I-TECH

Log4j, la faille informatique dont il faut se méfier 

Depuis quelques jours, les alertes se multiplient au sujet d’une faille informatique enregistrée et qui pourrait affecter des milliards de sites internet. Le responsable de cette faille serait Log4j, un sous-logiciel utilisé par des centaines de milliards de sites internet, dont le seul travail est de tenir un journal automatisé des visites vers un site, a expliqué Philippe Rondel, chercheur en sécurité informatique pour Check Point, un éditeur international de solutions de cybersécurité. 

Fin novembre, un employé de l’entreprise Alibaba, a discrètement alerté la fondation Apache (qui gère et distribue Log4j) des vulnérabilités qu’il a constatées dans le logiciel. Le 10 décembre dernier, un chercheur en sécurité informatique rend publique une manière d’exploiter cette faille informatique baptisée Log4Shell et c’est le début du casse-tête, car le monde numérique à alors constaté l’ampleur de cette faille et comment l’internet en est exposé. 

Le sous-logiciel est en effet présent dans des milliers de programmes utilisés pour faire fonctionner des millions de serveurs, et les développeurs de tous ces outils web ne savent parfois même pas si leurs logiciels font appel à lui. Environ 30% des sites internet utilisent Log4j. 

Pour l’heure, il est établi que des géants comme la Nasa, Twitter, Oracle ou Apple utilisent des programmes où la vulnérabilité Log4j est présente et iCloud, service de stockage en ligne d’Apple, pourrait être piraté grâce à cette faille. Ingenuity, le petit hélicoptère que la Nasa a envoyé sur Mars, est également vulnérable, car certains logiciels utilisés pour communiquer avec lui depuis la Terre reposent sur Log4j. 

Les pirates informatiques vont se lécher les doigts, car avec cette faille, ils pourront demander à Log4j d’exécuter n’importe quel de tâche, comme télécharger un virus en lui faisant croire qu’il met tout simplement à jour son journal des visites. Pour les cybercriminels, ils leur suffiront d’exécuter un code malveillant sur un programme sans avoir besoin d’une autorisation. Ordinairement, un cybercriminel doit disposer d’un identifiant et d’un mot de passe avant de pouvoir s’infiltrer sur un serveur pour y placer son virus, mais ce n’est pas le cas avec Log4Shell. Ils peuvent installer un simple virus destructeur sur le serveur visé, opter plutôt pour un logiciel espion ou encore prendre le contrôle des ordinateurs du réseau. 

Advertisements

830 000 tentatives d’attaques visant des clients de Check Point ont été enregistrées en 72 heures, explique Philippe Rondel et plus de 60 variantes de la méthode originale pour exploiter Log4Shell sont déjà en circulation. Les cybercriminels garderont une certaine longueur d’avance. 

La découverte de la faille montre la fragilité de certains composants essentiels pour le bon fonctionnement d’Internet. Le bon fonctionnement de Log4j est assuré par quelques bénévoles qui s’en occupent sur leur temps libre. Donc Apple ou Twitter par exemple, utilisent des sous-logiciels gérés par une poignée d’individus à peine rémunérés par quelques généreux donateurs pour leur services ou appareils qui rapportent pourtant des milliards. 

Philippe Rondel craint que cette première vague d’attaques ne soit qu’un premier tremblement de terre avant le tsunami d’attaques plus importantes à venir. Le risque est que certains cybercriminels utilisent cette faille pour déployer des rançongiciels qui seront activés dans les prochaines semaines. 

 

Facebook Comments

Sam Sarah Devilus
Journaliste / Communicatrice / Bookstagrameuse.