Sécurité informatique : Log4Shell, une faille dans Internet

·2 min de lecture

Une vulnérabilité informatique dans un logiciel open source utilisé par des millions d’applications web a été découverte cet automne et publiée début décembre 2021. Elle peut facilement être corrigée, sans que cela empêche des actions malveillantes de produire leurs effets plus tard.

Chaque programme, chaque application utilisée sur un réseau informatique génère son journal d’activité. Bugs, connexions, téléchargements, messages d’erreur, tout événement concernant le programme est enregistré (c’est avec ces "journaux de log" que des spécialistes en cybersécurité peuvent répérer des activités suspectes). Enormément d’applications web utilisent un même logiciel open source de log, Log4j. Or, depuis début décembre 2021 c’est la panique : une faille de sécurité dans Log4j a été découverte par un expert du géant du web chinois Alibaba. Elle a été notifiée à la plateforme open source des le 24 novembre avant d’être rendu publique le 9 décembre.

Une faille dite "zero day"

"Log4j est un module utilisé partout sur les serveurs web Apache, la liste des sites concernés est très longue", explique Pascal Le Digol, directeur France de la société de sécurité Informatique américaine WatchGuard. Appelée Log4Shell, la vulnérabilité en question n’est pas le fruit d’une attaque, c’est tout bonnement un bug, une malfaçon, sans doute présente depuis 2017. C’est une faille dite "zero day", c’est-à-dire qu’elle n’avait jamais été repérée par ceux qui peuvent en pâtir. Par contre, elle peut très bien avoir été connue de cybercriminels

Cette faille leur permet d’injecter du code malicieux dans les journaux de log pour l’exécuter à distance afin de retirer des données, contrôler l’application visée, utiliser la puissance de calcul de la victime pour miner de la monnaie numérique, bloquer celle-ci pour exiger ensuite une rançon, etc. Sur le plan technique, elle n’est pas difficile à colmater. Le problème, c’est qu’elle s’avère aussi très facile à exploiter. Et rien ne dit que des criminels n’en ont pas déjà profité avant sa découverte et placé des bouts de codes dévastateurs qui feront effet plus tard, quand bien même Log4j a été "patché".

La province du Québec a fermé préventivement 3992 services web !

"En matière de cybersécurité, prévient Pascal Le Digol, si un cherche[...]

Lire la suite sur sciencesetavenir.fr

A lire aussi

Notre objectif est de créer un endroit sûr et engageant pour que les utilisateurs communiquent entre eux en fonction de leurs centres d’intérêt et de leurs passions. Afin d'améliorer l’expérience dans notre communauté, nous suspendons temporairement les commentaires d'articles