Le bogue du logiciel Log4j est un « risque grave » pour l’ensemble d’Internet

Recevez des mises à jour en temps réel directement sur votre appareil, abonnez-vous maintenant.

Une faille dans un logiciel couramment utilisé a rendu des millions de serveurs Web vulnérables à l’exploitation par des pirates

La technologie


13 décembre 2021

Pirate informatique utilisant un ordinateur portable

Les pirates pourraient utiliser le bogue Log4j pour accéder à des données sécurisées

Shutterstock / Tammy54

Une faille de sécurité majeure a été découverte dans un logiciel appelé Log4j, qui est utilisé par des millions de serveurs Web. Le bogue les rend vulnérables aux attaques, et les équipes du monde entier se démènent pour corriger les systèmes affectés avant que les pirates ne puissent les exploiter. « Internet est en feu en ce moment », a déclaré Adam Meyers de la société de sécurité Crowdstrike.

Que s’est-il passé?

Le problème avec Log4j a été remarqué pour la première fois dans le jeu vidéo Minecraft, mais il est rapidement devenu évident que son impact était bien plus important. Le logiciel est utilisé dans des millions d’applications Web, y compris iCloud d’Apple. Des attaques exploitant le bogue, connues sous le nom d’attaques Log4Shell, se produisent depuis le 9 décembre, explique Crowdstrike.

La directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures, Jen Easterly, a déclaré que la faille de sécurité représentait un « risque grave » pour Internet. « Cette vulnérabilité, qui est largement exploitée par un nombre croissant d’acteurs de la menace, représente un défi urgent pour les défenseurs des réseaux étant donné son utilisation généralisée », dit-elle.

Qu’est-ce que Log4j exactement ?

Presque tous les logiciels que vous utilisez conserveront des enregistrements des erreurs et autres événements importants, appelés journaux. Plutôt que de créer leur propre système de journalisation, de nombreux développeurs de logiciels utilisent l’open source Log4j, ce qui en fait l’un des packages de journalisation les plus courants au monde.

Ne pas avoir à réinventer la roue est un énorme avantage, mais la popularité de Log4j est maintenant devenue un casse-tête mondial en matière de sécurité. La faille affecte des millions de logiciels, fonctionnant sur des millions de machines, avec lesquelles nous interagissons tous.

Qu’est-ce que la faille permet aux pirates de faire ?

Les attaquants peuvent amener Log4j à exécuter un code malveillant en le forçant à stocker une entrée de journal qui inclut une chaîne de texte particulière. La façon dont les pirates font cela varie d’un programme à l’autre, mais dans Minecraft, il a été rapporté que cela a été fait via les boîtes de discussion. Une entrée de journal est créée pour archiver chacun de ces messages, donc si la chaîne de texte dangereuse est envoyée d’un utilisateur à un autre, elle sera implantée dans un journal.

Dans un autre cas, il a été découvert que les serveurs Apple créaient un entrée de journal enregistrant le nom donné à un iPhone par son propriétaire dans les paramètres. Quoi qu’il en soit, une fois cette astuce réalisée, l’attaquant peut exécuter n’importe quel code sur le serveur, comme voler ou supprimer des données sensibles.

Pourquoi cette faille n’a-t-elle pas été détectée plus tôt ?

Le code qui constitue le logiciel open source peut être visualisé, exécuté et même avec des contrôles et des contrepoids modifiés par n’importe qui. Cette transparence peut rendre le logiciel plus robuste et sécurisé, car de nombreuses paires d’yeux y travaillent. Mais aucun logiciel ne peut être garanti sûr.

Le problème qui permet l’attaque Log4Shell est dans le code depuis un certain temps, mais n’a été reconnu qu’à la fin du mois dernier par un chercheur en sécurité de la société informatique chinoise Alibaba Cloud. Il a immédiatement signalé le problème à l’Apache Software Foundation, l’organisation américaine à but non lucratif qui supervise des centaines de projets open source, dont Log4j, pour lui donner le temps de résoudre le problème avant qu’il ne soit révélé publiquement.

Cette divulgation responsable est une pratique courante pour des bogues comme celui-ci, bien que certains chasseurs de bogues vendent également de telles vulnérabilités aux pirates, leur permettant d’être utilisées discrètement pendant des mois ou des années d’événements, y compris dans des logiciels d’espionnage vendus aux gouvernements du monde entier.

Que se passe-t-il maintenant ?

Apache a attribué à la vulnérabilité un classement « critique » et s’est précipité pour développer une solution. Aujourd’hui, des centaines de milliers d’équipes informatiques s’efforcent de mettre à jour Log4j vers la version 2.15.0, qui était publié avant que la vulnérabilité ne soit rendue publique et résout principalement le problème. Les équipes devront également parcourir leur code à la recherche de vulnérabilités potentielles et surveiller les tentatives de piratage.

Bien que des correctifs pour résoudre des problèmes comme celui-ci puissent apparaître très rapidement, en particulier lorsqu’ils sont révélés de manière responsable à l’équipe de développement, il faut du temps à tout le monde pour les appliquer. Les ordinateurs et les services Web sont maintenant si complexes et si superposés avec des dizaines de niveaux d’abstraction empilés, du code s’exécutant sur du code, sur du code, que la mise à jour de tous ces services peut prendre des mois.

Et il y en aura toujours qui ne le feront jamais. De nombreux coins poussiéreux d’Internet reposent sur du matériel vieillissant avec un code obsolète et vulnérable que les pirates peuvent facilement exploiter.

Plus sur ces sujets :

.

www.actusduweb.com
Suivez Actusduweb sur Google News


Recevez des mises à jour en temps réel directement sur votre appareil, abonnez-vous maintenant.

commentaires

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite