21 décembre 2021
Une faille majeure de sécurité fait les manchettes. Elle a été découverte dans un outil dont se servent les programmeurs pour enregistrer les activités d’applications et de logiciels exécutés par de nombreux appareils et services. Depuis qu’elle a été signalée la semaine dernière, des agences nationales de cybersécurité et des experts en la matière réclament que des mesures urgentes soient prises.
Log4j est un composant de logiciel servant à enregistrer les activités dans une application. Il est utilisé par des millions d’applications Java, et sa vulnérabilité peut être facilement exploitée par les pirates informatiques une fois qu’ils l’ont repérée. Elle a donc été jugée comme très élevée.
L’ampleur des répercussions est un sujet d’inquiétude croissant puisque Log4j est intégré à des millions d’applications, notamment celles utilisées par des principaux fournisseurs de services et de produits. Bien que la plupart des entreprises se soient empressées de cibler les systèmes et les applications touchés afin d’y apporter des correctifs le plus rapidement possible, la menace continuera de planer tant que les mises à jour n’auront pas toutes été effectuées et testées.
Quelle est la problématique?
Des entreprises comme Apple, IBM, Microsoft, Oracle, Cisco, Google et Amazon exécutent des applications et conçoivent des produits qui utilisent Log4j. Les applications et les sites Web populaires pourraient être visés par des activités malveillantes, et il en va de même pour les centaines de millions d’appareils aux quatre coins du monde connectés à Internet qui accèdent à ces produits et services.
Si un cybercriminel parvient à exploiter la vulnérabilité de Log4j, il peut installer un logiciel ou effectuer d’autres tâches sans aucune restriction. On rapporte que des pirates sont déjà parvenus à leurs fins et ont réussi à installer des logiciels capables d’extraire des cryptomonnaies, à installer des rançongiciels, à enregistrer secrètement les frappes de clavier et à voler des identifiants ou d’autres données d’utilisateurs.
Qu’est-ce que cela signifie pour moi?
Puisque la vulnérabilité touche en grande partie les applications et les appareils, dont la plupart sont liés aux principaux fournisseurs de services infonuagiques, un haut pourcentage d’utilisateurs de ces produits et plateformes en subiront indirectement les répercussions. Des petites entreprises peut être directement touchée si ses sites Web ou un des logiciels qu’elles utilisent est développé avec Log4j.
Même si les pirates informatiques n’ont aucun mal à exploiter cette vulnérabilité, elle est facile à corriger une fois qu’elle a été découverte. Mais l’omniprésence de l’outil Log4j dans les applications en fait un problème grave et généralisé qui ne se résout pas au moyen d’une seule mise à jour logicielle comme c’est le cas pour d’autres vulnérabilités majeures. Il faudra du temps et des efforts pour veiller à ce que chaque instance de ce code défectueux soit corrigée dans les applications qui l’utilisent.
Que dois-je faire?
Étant donné qu’il s’agit d’un code malveillant exploitant une faille de sécurité qui touche les applications, les plateformes et les appareils, communiquez avec le fournisseur qui héberge votre site Web ou toute application ou tout service que vous possédez ou utilisez et qui est essentiel à votre entreprise. Pensez aux applications dans lesquelles vous stockez des données importantes ou par l’entremise desquelles vous effectuez des transactions où vous devez fournir des renseignements confidentiels ou des renseignements personnels identifiables (PII). Assurez-vous que le fournisseur ou le développeur est au courant du problème et a pris des mesures correctives.
Bien que l’outil de journalisation Log4j puisse être utilisé par de nombreux types d’applications et de logiciels dans les appareils, la menace la plus courante et la plus grave à l’heure actuelle touche les serveurs et les applications de serveurs.
Les développeurs doivent s’assurer d’intégrer la dernière version de Log4j à leurs applications dès que possible afin de protéger les utilisateurs et les organisations. Les utilisateurs devraient être à l’affût des communications de leurs fournisseurs de services pour connaître les dernières nouvelles concernant la menace et pour savoir dans quelle mesure ils sont concernés. Les organisations devraient communiquer avec leurs fournisseurs d’applications ou de services pour s’assurer que leurs applications fonctionnent avec la dernière version de Java.
Pour le moment, l’utilisateur moyen ne peut pas faire grand-chose de plus, car c’est aux développeurs et aux fournisseurs de corriger leurs logiciels et d’émettre des mises à jour. Les gens devraient cependant porter une attention particulière à cette vulnérabilité et être conscients des attaques malveillantes sérieuses auxquelles sont exposés une multitude d’applications et de services.
Sources:
(en anglais seulement) CVE-2021-44228 Deteil - NIST National Vulnerability Database