Qu'est-ce que la faille de sécurité "Log4Shell" autour de laquelle l'inquiétude monte ?
Le niveau d'alerte est maximal. Une faille dans la bibliothèque open source de journalisation Log4j permet une exécution de code arbitraire sur un serveur vulnérable par un attaquant sans qu'il n'ait besoin de s'authentifier. Elle n'expose pas seulement les applications web intégrant Java mais également celles l'utilisant indirectement. Conséquence de quoi le nombre de victimes potentielles – entreprises et entités publiques – est astronomique.
Le Bundesamt für Sicherheit in der Informationstechnik (BSI), l'homologue allemand de l'Agence nationale de la sécurité des systèmes d'information (Anssi), a annoncé le 10 décembre 2021 la découverte d'une vulnérabilité dans la bibliothèque open source de journalisation Log4j, développée par Apache. Sont concernées les versions 2.0 à 2.14.1. La faille aurait été détectée la première fois par l'équipe de sécurité d'Alibaba Cloud et notifié à Apache le 24 novembre 2021, rapporte Bleeping Computer.
Cette bibliothèque est très souvent utilisée dans les projets de développement Java/J2EE ainsi que par les éditeurs de solutions logicielles sur étagère basées sur Java/J2EE, comme l'explique le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), un organe de l'Anssi. La faille touche donc un nombre de victimes potentielles très important.
Exécuter du code arbitraire sans authentification
Cette vulnérabilité, baptisée "Log4Shell", permet à un acteur malveillant d'exécuter du code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'événement. Pire encore, cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification, alerte le CERT-FR. Il a ajouté le dimanche 12 décembre que cette faille était effectivement exploitée. Une information confirmée depuis par plusieurs autorités nationales en charge de la cybersécurité.
En pratique, un acteur malveillant pourrait accéder à toutes les informations contenues sur un site web, dont les données personnelles qui s’y trouvent, en exécutant un malware sur un site visé.
"Une menace extrêmement critique"
Cette vulnérabilité conduit à "une menace extrêmement critique", alerte le BSI, car l'utilisation de Log4j est "très répandue". Ainsi, la brèche a des conséquences sur "d'innombrables produits". En effet, même si la l'entité n'utilise pas directement Java, elle peut y avoir recours via des produits utilisant la bibliothèque de journalisation indirectement. C'est le cas d'un très grand nombre de logiciels dont la liste a été fournie par le CERT de Nouvelle Zélande. On y retrouve Struts2, Solr, Flink, ElasticSearch, Kafka, Druid mais également Minecraft, Azure, iCloud (Apple), Steam ou encore Oracle.
Sans surprise, l'Anssi recommande très fortement d'utiliser la version 2.15.0 dès que possible. De plus, de nombreux éditeurs utilisant Log4j publient progressivement des correctifs. Cependant, en cas de difficulté de migration vers cette version, des mesures de contournement peuvent être temporairement appliquées. Il est donc indispensable que les entreprises et les entités publiques cartographient l'ensemble des systèmes et logiciels utilisant Log4j dans leur environnement puis prendre les mesures adéquates.
Québec ferme 3992 sites et services
Des pays sont déjà allés beaucoup plus loin pour éviter que cette vulnérabilité ne fasse trop de dégâts. La Presse rapporte ce lundi 13 décembre que Québec (région canadienne) a ordonné ce dimanche la fermeture préventive de l’ensemble de ses systèmes informatiques accessibles depuis l’Internet, soit 3992 sites et services. "Rien n’indique à présent que les systèmes de l’Agence ont été compromis ou qu’un accès non autorisé aux informations de contribuables a eu lieu en raison de cette vulnérabilité", a précisé l'Agence du revenu du Canada (ARC). Les villes d'Ottawa et de Montréal ont suivi le mouvement. La France n'a pas pris de décision similaire pour l'instant.
Pour le gouvernement québécois, le message est clair : "la menace de préjudice était plus grande que le préjudice de fermer l’ensemble des systèmes du gouvernement accessibles depuis internet", a expliqué le ministre délégué à la Transformation numérique, Éric Caire, lors d’une conférence de presse en compagnie du dirigeant principal de l’information, Pierre Rodrigue, cité par La Presse.
SUR LE MÊME SUJET
Qu'est-ce que la faille de sécurité "Log4Shell" autour de laquelle l'inquiétude monte ?
Tous les champs sont obligatoires
0Commentaire
Réagir