Une importante faille de sécurité informatique, surnommée «Log4Shell» met en danger de nombreux serveurs sur Internet. Plusieurs cyberattaques ont eu lieu, touchant notamment les serveurs d’Apple, de Steam ou de Minecraft.
Vendredi 10 décembre, plusieurs experts en sécurité informatique ont tiré la sonnette d'alarme sur un danger lié à une vulnérabilité récemment détectée. De son vrai nom CVE-2021-44228, la faille rapidement baptisée «Log4Shell», concerne une bibliothèque Java, dite de «journalisation», du nom de Log4j appartenant à la fondation Apache Software. Un outil, permettant d’enregistrer des informations relatives à un logiciel, utilisé par des millions d’applications et sites web.
Des données confidentielles à ciel ouvert
Les experts ont découvert qu’il était possible d’envoyer au serveur un message et de lui faire lire. Mais si ce message contient du code, alors il peut être exécuté sur le serveur. Pour faire simple, la faille «Log4Shell» permet d’exécuter du code à distance et sans authentification, auxquels cas les hackers pourraient accéder à des données gouvernementales ou d’entreprises. C’est ce qu’on appelle une vulnérabilité de classe RCE (Remote Code Execution ou Exécution de code à distance en français).
Cette vulnérabilité est particulièrement dangereuse car elle permet aux pirates de s’introduire dans les serveurs concernés, à tel point qu’elle a été classée 10/10 en termes de gravité. Selon Evgeny Lopatin, expert en sécurité chez Kaspersky : «Ce qui rend cette vulnérabilité particulièrement dangereuse, ce n'est pas seulement le fait que les attaquants peuvent prendre le contrôle total du système, mais aussi la facilité avec laquelle elle peut être exploitée.»
A la recherche des serveurs vulnérables
Ce weekend, Apache a publié une mise à jour permettant de corriger l’erreur. Néanmoins c’est aux propriétaires des serveurs d’appliquer cette mise à jour.
Pour les grandes institutions tels que des gouvernements, la tâche est rude puisqu’il faut identifier les serveurs vulnérables parmi les quelques milliers leurs appartenant.
Interrogé à ce sujet par le site canadien La Presse, Éric Caire, ministre de la Transformation numérique canadienne, répond : « Il faut scanner l’ensemble de nos systèmes, parce qu’on n’a pas un inventaire. C’est comme dire combien de pièces dans tous les immeubles du gouvernement du Québec utilisent des ampoules 60 watts. Je ne le sais pas. Donc on fait le tour des pièces et on fait le tour des ampoules pour savoir si c’est une 60 watts. C’est un travail de moine.»
Quid des particuliers ?
De leur côté, «les particuliers ne peuvent pas faire grand-chose, si ce n'est installer les mises à jour des différents services dès qu'elles sont disponibles. Les entreprises, en revanche, doivent œuvrer sans relâche pour installer tous les patchs nécessaires et sécuriser leurs propres systèmes. Et chaque fois qu'un risque est éliminé, une évaluation doit déterminer si un incident actif est en cours sur les systèmes concernés», a prévenu quant à elle la société spécialiste en cybersécruité F-Secure.