Log4shell est l’une des failles de sécurité les plus connues. En effet, celle-ci fait parler d’elle depuis plus d’une vingtaine d’années. Cependant, elle est récemment revenue sur le devant de la scène, puisque la Cybersecurity and Infrastructure Agency (CISA) et le gouvernement américain ont émis un énième avertissement vis-à-vis de cette vulnérabilité, susceptible d’impacter des millions d’appareils.
Qu’est-ce que « Log4shell » ?
De prime abord, le vocable « log4shell » peut nous sembler vague, quelques peu étranger. Remédions à cela. Log4shell, aussi dénommée la « faille 0-day » permet d’exécuter du code à distance sans aucune authentification, et d’accéder aux serveurs touchés. C’est une faille présente dans Log4j, qui est une bibliothèque de journalisation, un outil fréquemment utilisé dans les applications Java. Ce programme est le fruit de l’Apache Software Foundation (ASF), une organisation à but non lucratif, qui fut créée en 1999 aux Etats-Unis. Elle développe des logiciels libres sous la licence Apache. Ainsi, du fait de la renommée de l’ASF, on peut aisément comprendre que cet outil fut massivement adopté.
D’ailleurs, une majorité de logiciels reposent sur l’outil Log4j. On peut nommer IBM, Amazon Web Services, ou encore les services Cloud de Microsoft. Cet outil est donc utilisé à l’échelle mondiale. En réalité, beaucoup d’acteurs sont concernés, car Log4j est utilisé dans une pléthore de serveurs.
L’événement qui fait grand bruit
Depuis l’annonce de la CISA et du gouvernement américain, en date du 14 décembre 2021, l’inquiétude plane. En effet, la majorité des appareils reposant sur l’outil Log4j sont en danger, du fait de la faille Log4shell. D’ailleurs, Jen Easterly, directrice de la CISA, a bel et bien attesté de « l’ampleur de cette vulnérabilité ». Elle estime même qu’elle n’a jamais été mise face à une telle faille en plus de vingt ans de carrière. Et pour cause, même les agences de cybersécurité semblent sans ressource, et complètement perdues face à cette situation.
Les potentielles conséquences de Log4shell
Log4shell, par sa grave dangerosité, laisse encore planer le doute : on n’est pas encore à même de connaître toutes les conséquences possibles. Toutefois, du fait des événements récents, on peut en affirmer certaines. La liste est longue, car cette faille 0-day peut être assimilée à un cambrioleur qui pourrait accéder à votre porte sans avoir besoin d’une clef pour rentrer, puis ensuite, être libre de faire ce qu’il veut à l’intérieur.
En bref, la faille Log4shell peut être utilisée pour empêcher l’accès à un site, pour demander une rançon, pour dérober des mots de passes, pour compromettre les bases de données des entreprises, de leurs clients, mais aussi leur système complet, en prenant le contrôle total. En effet, elle est en mesure d’extraire des données, et parmi elles, les plus secrètes. Tout acteur malveillant pourrait donc voler les données. D’ailleurs, la principale préoccupation des experts en cybersécurité est que toute personne – amatrice ou non, peut aisément exploiter cette vulnérabilité. Tous les hackers sont donc de la partie.
Le nombre d’attaques fondées sur Log4shell ne cesse de s’accroître, tout d’abord du fait de la facilité avec laquelle on peut être à la tête d’une attaque, mais aussi parce que de nombreux particuliers et entreprises utilisent l’outil Log4j sans en avoir réellement conscience. Une protection fut mise en place, toutefois, la firme de cybersécurité Checkpoint a déjà empêché plus d’un million de tentatives, dont presque la moitié ayant été intentées par des groupes connus.
Puis, un expert en cybersécurité craint de lourds incidents, comme par exemple le cas où les hackers attaqueraient une entreprise de gaz afin de désactiver son gazoduc. Ce type d’attaques serait compromettant pour tout le monde, surtout en plein mois de décembre. De plus, selon Mandiant, le gouvernement chinois se serait déjà mis à exploiter la vulnérabilité Log4shell, ce qui ne présage rien de bon.
Qui est concerné ?
La faille Log4shell n’épargne personne, bien que les particuliers soient beaucoup moins touchés que les entreprises. En réalité, tout appareil disposant d’une connexion internet peut de fait être infecté par cette vulnérabilité s’il repose sur Apache Log4J en version 2.0 jusqu’à 2.14.1.
Parmi les instances vulnérables, on peut citer les logiciels d’IBM, Amazon, Apple, Minecraft (là où la faille fut découverte, et là où le jeu est codé en Java), ou bien encore Oracle, Fortinet, Jetbrains. La liste est non exhaustive.
Bitdefender, une entreprise de sécurité informatique, a même annoncé que des cybercriminels envisagent de s’introduire dans les systèmes Linux, et machines sous Windows, dans le but de demander des rançons aux propriétaires. La situation semble donc très préoccupante.
Que pouvons-nous faire à l’heure actuelle ?
A l’heure actuelle, la situation reste encore très floue. Concernant les utilisateurs, le maître mot reste « patience ». Ils devront toutefois faire preuve de réactivité dès qu’une nouvelle mise à jour est disponible.
Pour le reste, beaucoup travaillent sur des patches pour leurs propres logiciels, comme chez IBM, par exemple. Affaire à suivre, donc.
Linda Ragot
Sources :
- https://www.lebigdata.fr/log4shell-tout-savoir
- https://www.clubic.com/antivirus-securite-informatique/dossier-398829-qu-est-ce-que-log4shell-la-vulnerabilite-qui-enflamme-internet.html
- https://www.maddyness.com/2021/12/20/log4shell-faille-securite-dangers-entreprises-cybelangel/
- Image : Adobe Stock