Une faille logicielle récemment découverte, la vulnérabilité la plus critique de la dernière décennie
Une vulnérabilité critique dans un outil logiciel largement utilisé et rapidement exploité dans le jeu en ligne Minecraft est en train de devenir rapidement une menace majeure pour les organisations du monde entier.
Les Internets en feu en ce moment, a déclaré Adam Meyers, vice-président senior du renseignement de la société de cybersécurité Crowdstrike. Les gens se démènent pour patcher, a-t-il dit, et toutes sortes de personnes se démènent pour l’exploiter. Il a déclaré vendredi matin qu’au cours des 12 heures qui se sont écoulées depuis la divulgation de l’existence du bogue, il avait été entièrement militarisé, ce qui signifie que des malfaiteurs avaient développé et distribué des outils pour l’exploiter.
La faille, baptisée Log4Shell, est peut-être la pire vulnérabilité informatique découverte depuis des années. Il a été découvert dans un outil de journalisation open source, Log4j, omniprésent dans les serveurs cloud et les logiciels d’entreprise utilisés dans l’industrie et le gouvernement. À moins qu’il ne soit réparé, il offre aux criminels, aux espions et aux novices en programmation un accès facile aux réseaux internes où ils peuvent piller des données précieuses, implanter des logiciels malveillants, effacer des informations cruciales et bien plus encore.
J’aurais du mal à penser à une entreprise qui ne court aucun risque, a déclaré Joe Sullivan, directeur de la sécurité de Cloudflare, dont l’infrastructure en ligne protège les sites Web des acteurs malveillants. Des millions de serveurs incalculables l’ont installé et les experts ont déclaré que les retombées ne seraient pas connues avant plusieurs jours.
Amit Yoran, PDG de la société de cybersécurité Tenable, l’a qualifié de vulnérabilité la plus importante et la plus critique de la dernière décennie et peut-être la plus grande de l’histoire de l’informatique moderne.
La vulnérabilité a été classée 10 sur une échelle de 1 à 10 par l’Apache Software Foundation, qui supervise le développement du logiciel. Toute personne ayant l’exploit peut obtenir un accès complet à un ordinateur non corrigé qui utilise le logiciel.
Les experts ont déclaré que l’extrême facilité avec laquelle la vulnérabilité permet à un attaquant d’accéder à un serveur Web sans mot de passe requis est ce qui la rend si dangereuse.
L’équipe d’intervention d’urgence informatique de la Nouvelle-Zélande a été parmi les premières à signaler que la faille était activement exploitée dans la nature quelques heures seulement après sa publication jeudi et la publication d’un correctif.
La vulnérabilité, localisée dans le logiciel open source Apache utilisé pour exécuter des sites Web et d’autres services Web, a été signalée à la fondation le 24 novembre par le géant chinois de la technologie Alibaba, a-t-il indiqué. Il a fallu deux semaines pour développer et publier un correctif.
Mais corriger les systèmes dans le monde entier pourrait être une tâche compliquée. Alors que la plupart des organisations et des fournisseurs de cloud tels qu’Amazon Web Services devraient pouvoir mettre à jour leurs serveurs Web facilement, le même logiciel Apache est également souvent intégré dans des programmes tiers, qui ne peuvent être mis à jour que par leurs propriétaires.
Yoran a déclaré que les organisations devaient présumer qu’elles avaient été compromises et agir rapidement.
Les premiers signes évidents de l’exploitation des failles sont apparus dans Minecraft, un jeu en ligne extrêmement populaire auprès des enfants et appartenant à Microsoft. Meyers et l’expert en sécurité Marcus Hutchins ont déclaré que les utilisateurs de Minecraft l’utilisaient déjà pour exécuter des programmes sur les ordinateurs d’autres utilisateurs en collant un court message dans une boîte de discussion.
Microsoft a déclaré avoir publié une mise à jour logicielle pour les utilisateurs de Minecraft. Les clients qui appliquent le correctif sont protégés, a-t-il déclaré.
Les chercheurs ont rapporté avoir trouvé des preuves que la vulnérabilité pourrait être exploitée sur des serveurs gérés par des sociétés telles qu’Apple, Amazon, Twitter et Cloudflare.
Cloudflares Sullivan a déclaré que rien n’indiquait que les serveurs de son entreprise avaient été compromis. Apple, Amazon et Twitter n’ont pas immédiatement répondu aux demandes de commentaires.