À 25 ans, Wikipédia fait face à deux menaces : l’essor de l’IA et le…

Un homme a été abattu et un autre blessé à Avignon, une enquête a été…

Dernière mise à jour : Trump promet de frapper l’Iran « très…

Logiciels

La faille du logiciel Log4j est « endémique », selon un nouveau panel de cybersécurité

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

Une vulnérabilité informatique découvert l’année dernière dans un logiciel omniprésent est un problème endémique qui posera des risques de sécurité pendant une décennie ou plus, selon un nouveau panel de cybersécurité créé par le président Joe Biden.

Le Cyber ​​​​Safety Review Board a déclaré jeudi dans un rapport que bien qu’il n’y ait eu aucun signe de cyberattaque majeure en raison de la faille Log4jil sera encore exploité pour les années à venir.

Log4j est l’une des vulnérabilités logicielles les plus graves de l’histoire, a déclaré mercredi à la presse le président du conseil d’administration, le sous-secrétaire du département de la Sécurité intérieure, Rob Silvers.

La faille Log4j, rendue publique à la fin de l’année dernière, permet aux attaquants basés sur Internet de prendre facilement le contrôle de tout, des systèmes de contrôle industriels aux serveurs Web et à l’électronique grand public. Les premiers signes évidents de l’exploitation des failles sont apparus dans Minecraft, un jeu en ligne extrêmement populaire propriété de Microsoft.

La découverte de failles a déclenché des avertissements urgents de la part des responsables gouvernementaux et des efforts massifs de la part des professionnels de la cybersécurité pour corriger les systèmes vulnérables.

Le conseil d’administration a déclaré jeudi que, de manière quelque peu surprenante, l’exploitation du bogue Log4j s’était produite à des niveaux inférieurs à ceux prévus par les experts. Le conseil d’administration a également déclaré qu’il n’était au courant d’aucune attaque Log4j importante sur des systèmes d’infrastructure critiques, mais a noté que certaines cyberattaques ne sont pas signalées.

Le conseil a déclaré que les futures attaques sont probables en grande partie parce que Log4j est régulièrement intégré à d’autres logiciels et peut être difficile à trouver pour les organisations en cours d’exécution dans leurs systèmes.

Cet événement n’est pas terminé, a déclaré Silvers.

Log4j, écrit dans le langage de programmation Java, enregistre l’activité des utilisateurs sur les ordinateurs. Développé et maintenu par une poignée de bénévoles sous les auspices de l’Apache Software Foundation open-source, il est extrêmement populaire auprès des développeurs de logiciels commerciaux.

Un chercheur en sécurité du géant chinois de la technologie Alibaba a informé la fondation le 24 novembre. Il a fallu deux semaines pour développer et publier un correctif. Les médias chinois ont rapporté que le gouvernement avait puni Alibaba pour ne pas avoir signalé la faille plus tôt aux responsables de l’État.

Le conseil d’administration a déclaré jeudi qu’il avait trouvé des éléments troublants dans la politique du gouvernement chinois en matière de divulgation des vulnérabilités, affirmant que cela pourrait donner aux pirates informatiques chinois un aperçu précoce des failles informatiques qu’ils pourraient utiliser à des fins néfastes comme le vol de secrets commerciaux ou l’espionnage de dissidents. Le gouvernement chinois a longtemps nié les actes répréhensibles dans le cyberespace et a déclaré au conseil d’administration qu’il encourageait un meilleur partage d’informations sur les vulnérabilités des logiciels.

Le conseil a proposé un certain nombre de recommandations sur l’atténuation des retombées de la faille Log4j ainsi que sur l’amélioration de la cybersécurité en général. Cela inclut la suggestion que les universités et les collèges communautaires fassent de la formation en cybersécurité une partie obligatoire des programmes de diplôme et de certification en informatique.

Le Cyber ​​​​Safety Review Board est calqué sur le National Transportation Safety Board, qui examine les accidents d’avion et autres accidents majeurs, et a été mandaté par un décret exécutif signé par Biden en mai dernier. Le conseil d’administration de 15 membres est composé du FBI, de l’Agence de sécurité nationale et d’autres responsables gouvernementaux ainsi que de personnes du secteur privé. Certains partisans du nouveau conseil ont critiqué le DHS pour avoir mis autant de temps à le mettre en place et à le faire fonctionner.

Le décret exécutif de Bidens a ordonné au conseil d’administration de mener son premier examen de la campagne massive de cyberespionnage russe connue sous le nom de SolarWinds. Les pirates russes ont pu violer plusieurs agences fédérales, y compris des comptes appartenant aux hauts responsables de la cybersécurité du DHS, bien que les retombées complètes de cette campagne ne soient pas encore claires.

Silvers a déclaré que le DHS et la Maison Blanche ont convenu que l’examen de la faille Log4j était une meilleure utilisation de l’expertise et du temps des nouveaux conseils.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite