De nombreuses entreprises technologiques à grande échelle, telles que Microsoft, Cisco, Google et IBM, et même certaines agences gouvernementales de cybersécurité comme CISA, ont déjà signalé des vulnérabilités et publié des directives sur la gestion de la menace.
Des rapports arrivent sur les pirates qui scannent déjà en masse les serveurs vulnérables dans le but d’identifier les empreintes digitales et les points faibles. Un logiciel aussi largement utilisé que Log4J pourrait offrir à un acteur menaçant de nombreuses opportunités d’exploiter cette vulnérabilité et de prendre le contrôle de l’ensemble des systèmes affectés, nuisant à la fois aux grandes entreprises et à leurs clients.
La bibliothèque de logiciels Log4J est une bombe pleine d’informations qui pourraient nuire à des centaines de millions de personnes dans le monde
Un tout petit bout de code que redoutent les gros bonnets
Une vulnérabilité appelée Log4Shell a été remarquée pour la première fois dans Minecraft et signalée le 24 novembre par Chen Zhaojun. Log4Shell est une faille mineure dans la bibliothèque logicielle Log4J d’Apache qui peuvent causer des dommages colossaux à des millions d’organisations et d’industries qui utilisent ce logiciel au quotidien sur leurs sites Web et applications.
Je pense que nous ne verrons pas un seul grand fournisseur de logiciels dans le monde – du moins du côté industriel – n’avoir de problème avec cela
Caltagirone a ajouté qu’un large éventail d’industries de l’électricité, de la fabrication, des transports et même de l’alimentation et des boissons étaient déjà exposées. Pour ne rien arranger, la bibliothèque logicielle Log4J, en plus d’être omniprésente, est extrêmement sensible puisqu’il s’agit d’une bibliothèque qui enregistre l’activité de l’utilisateur (données de sécurité et de performance) – en d’autres termes – c’est une bombe d’informations ! En tant que tel, entre de mauvaises mains, cela pourrait facilement conduire à l’exfiltration de données, au vol d’informations d’identification, aux menaces de ransomware, à l’installation de mineurs de pièces cryptographiques et à diverses autres activités illégales.
Il a fallu deux semaines à Apache Software Foundation pour développer et publier le correctif qui corrige avec succès la vulnérabilité. Cependant, jusqu’à présent, plus d’un demi-million de tentatives de violation par des organisations malveillantes connues ont été détectées, et personne ne peut dire avec certitude combien d’autres acteurs de la menace inconnus se cachent dans l’ombre.
Nous sommes dans une accalmie avant la tempête
Nous parlons d’un bogue qui met en danger tous les serveurs et programmes basés sur Java, et il est donc très difficile de concevoir les proportions des dommages – d’autant plus que les mises à jour logicielles sur le Web prennent du temps à mettre en œuvre (et le temps est essentiel). Aucun ransomware ou infection similaire n’a été signalé jusqu’à présent, mais ils sont attendus dans les prochaines semaines. On soupçonne que les pirates informatiques analysent et stockent déjà en masse des données pour leurs futures cyberattaques. Comme l’a dit le chercheur principal, Sean Gallagher, de Sophos, il semble inévitable que ce soit juste une accalmie avant la tempête.
Des temps désespérés appellent des efforts combinés
Les experts en cybersécurité du monde entier essaient avec diligence de détecter toute exploitation potentielle, mais j’ai bien peur qu’ils n’aient pu qu’effleurer la surface d’un problème beaucoup plus important. Il devient clair maintenant que l’ensemble du système de conception de logiciels open source de volontariat a besoin d’une réévaluation et d’une approche plus systématique, avec les mesures de protection nécessaires en vigueur.
En attendant, les experts appellent cela l’une des pires vulnérabilités depuis des années, et nous devrions tous le prendre au sérieux. Voici ce que vous pouvez faire pour minimiser les dommages et protéger nos appareils :
Mettre à jour, mettre à jour, mettre à jour !
On ne soulignera jamais assez l’importance des mises à jour régulières. Les mises à jour logicielles ajoutent généralement de nouvelles fonctionnalités et suppriment celles qui sont obsolètes, et c’est très bien… mais elles sont principalement là pour corriger les failles de sécurité et corriger les bogues comme Log4Shell – et ainsi protéger vos appareils.
Ce sont précisément des situations comme celles-ci qui nous rappellent à quel point nous sommes sensibles aux cyberattaques si nous ne prenons pas les précautions nécessaires. Nous avons tous tendance à adopter l’attitude défensive du « ça ne va pas m’arriver » et à ne pas agir tant que nous n’avons pas vu les premiers signes avant-coureurs. Malheureusement, à ce moment-là, il sera déjà trop tard. Donc, si vous ne l’avez pas déjà fait, prenez un moment maintenant et mettez à jour tous vos systèmes d’exploitation et applications, en particulier ceux que vous soupçonnez d’utiliser des codes Apache ou des serveurs Java.
Correction manuelle
Certaines applications et jeux particulièrement vulnérables, comme Minecraft, vous offrent la possibilité de corriger la vulnérabilité manuellement. Donc, si vous êtes un joueur Minecraft et, pour une raison quelconque, vous ne souhaitez pas mettre à jour vers la version sécurisée 1.18.1, suivez ces instructions pour la correction manuelle.
Conclusion
Ce n’est plus la question de savoir comment un groupe de bénévoles a pu se passer si mal ? À ce stade, il s’agit d’admettre les lacunes de l’ensemble de l’industrie, de s’appuyer sur l’insertion aveugle d’extraits de code (sans prendre suffisamment de précautions) et d’apporter des modifications significatives. Quant à nous, les utilisateurs, n’oublions pas de toujours nous demander : que pouvons-nous faire pour nous protéger et protéger les autres dans cet environnement fou ?
