Log4j : Un bogue logiciel sérieux a mis l’ensemble de l’Internet à

Une faille dans un logiciel couramment utilisé a rendu des millions de serveurs Web vulnérables à l’exploitation par des pirates

Par Matthieu Sparkes

Une faille de sécurité majeure a été découverte dans un logiciel appelé Log4j, qui est utilisé par des millions de serveurs Web. Le bogue les rend vulnérables aux attaques, et les équipes du monde entier se démènent pour corriger les systèmes affectés avant que les pirates ne puissent les exploiter. « Internet est en feu en ce moment », mentionné Adam Meyers de la société de sécurité Crowdstrike.

Que s’est-il passé?

Le problème avec Log4j a été remarqué pour la première fois dans le jeu vidéo Minecraft mais il est vite devenu évident que son impact était bien plus important. Le logiciel est utilisé dans des millions d’applications Web, y compris iCloud d’Apple. Des attaques exploitant le bogue, connues sous le nom d’attaques Log4Shell ont été se passe dans la nature depuis le 9 décembre, dit Crowstrike.

La directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures, Jen Easterly, a déclaré que le faille de sécurité pose un « risque grave » a l’Internet. « Cette vulnérabilité, qui est largement exploitée par un nombre croissant d’acteurs de la menace, représente un défi urgent pour les défenseurs des réseaux étant donné son utilisation généralisée », dit-elle.

Qu’est-ce que Log4j exactement ?

Presque tous les logiciels que vous utilisez conserveront des enregistrements des erreurs et autres événements importants, appelés journaux. Plutôt que de créer leur propre système de journalisation, de nombreux développeurs de logiciels utilisent l’open source Log4j, ce qui en fait l’un des packages de journalisation les plus courants au monde.

Ne pas avoir à réinventer la roue est un énorme avantage, mais la popularité de Log4j est maintenant devenue un casse-tête mondial en matière de sécurité. La faille affecte des millions de logiciels, fonctionnant sur des millions de machines, avec lesquelles nous interagissons tous.

Qu’est-ce que la faille permet aux pirates de faire ?

Les attaquants peuvent amener Log4j à exécuter un code malveillant en le forçant à stocker une entrée de journal qui inclut une chaîne de texte très particulière. La façon dont les pirates font cela varie d’un programme à l’autre, mais dans Minecraft il a été rapporté que cela a été fait via les boîtes de discussion. Une entrée de journal est créée pour archiver chacun de ces messages, donc si la chaîne de texte dangereuse est envoyée d’un utilisateur à un autre, elle sera implantée dans un journal.

Dans un autre cas, il a été découvert que les serveurs Apple créaient un entrée de journal enregistrant le nom donné à un iPhone par son propriétaire dans les paramètres. Quoi qu’il en soit, une fois cette astuce réalisée, l’attaque peut exécuter n’importe quel code sur le serveur, comme le vol ou la suppression de données sensibles.

Pourquoi cette faille n’a-t-elle pas été détectée plus tôt ?

Le code qui compose le logiciel open source peut être visualisé, exécuté et même – avec des contrôles et des équilibres – édité par n’importe qui. Cette transparence peut rendre le logiciel plus robuste et sécurisé, car de nombreuses paires d’yeux y travaillent. Mais aucun logiciel ne peut être garanti sûr.

Le problème qui permet l’attaque Log4Shell est dans le code depuis un certain temps, mais n’a été reconnu qu’à la fin du mois dernier par un chercheur en sécurité d’Alibaba Cloud, une entreprise informatique chinoise. Il a immédiatement signalé le problème à l’Apache Software Foundation, l’organisation américaine à but non lucratif qui supervise des centaines de projets open source, dont Log4j, pour leur donner le temps de résoudre le problème avant qu’il ne soit révélé publiquement.

Cette divulgation responsable est une pratique courante pour des bogues comme celui-ci, bien que des chasseurs de bogues sans scrupules vendent également des vulnérabilités comme aux pirates, ce qui leur permet d’être utilisés discrètement pendant des mois ou des années d’événements – y compris dans logiciel d’espionnage vendu aux gouvernements du monde entier.

Que se passe-t-il maintenant ?

Apache a attribué à la vulnérabilité un classement « critique » et se sont précipités pour développer une solution. Maintenant, des centaines de milliers d’équipes informatiques se démènent pour mettre à jour Log4j vers la version 2.15.0, qui était publié avant que la vulnérabilité ne soit rendue publique et résout principalement le problème. Les équipes devront également parcourir leur code à la recherche de vulnérabilités potentielles et surveiller les tentatives de piratage.

Bien que des correctifs pour résoudre des problèmes comme celui-ci puissent apparaître très rapidement, en particulier lorsqu’ils sont révélés de manière responsable à l’équipe de développement, il faut du temps à tout le monde pour les appliquer. Les ordinateurs et les services Web sont maintenant si complexes et si superposés avec des dizaines de niveaux d’abstraction empilés, du code s’exécutant sur du code, sur du code, que la mise à jour de tous ces services peut prendre des mois.

Et il y en aura toujours qui ne le feront jamais. De nombreux coins poussiéreux d’Internet reposent sur du matériel vieillissant avec un code obsolète et vulnérable, ce que les pirates informatiques sont très heureux d’exploiter.