1. Accueil
  2. Actu
  3. Tech
  4. Faille Log4shell : pourquoi parle-t-on de la plus grande vulnérabilité informatique de l'histoire ?
4 min de lecture

Faille Log4shell : pourquoi parle-t-on de la plus grande vulnérabilité informatique de l'histoire ?

L'Internet mondial est secoué par la découverte d'une faille informatique de grande ampleur dans un composant logiciel utilisé par des millions d'organisation. Des analyses sont en cours pour évaluer l'ampleur des dégâts et les risques potentiels.

Un code source sur un ordinateur (illustration)
Un code source sur un ordinateur (illustration)
Crédit : Ilya Pavlov / Unsplash
Benjamin Hue
Benjamin Hue

Les futures semaines s'annoncent agitées pour l'informatique mondiale. La révélation d'une vulnérabilité critique dans un composant utilisé par la plupart des logiciels et applications à travers la planète a sonné l'alerte pour toutes les entreprises du Web, les administrations et les États dont l'étanchéité des infrastructures informatiques a soudainement été remise en cause au tout début du week-end. 

"Cette vulnérabilité est l'une des plus graves que j'ai vues dans toute ma carrière, si ce n'est la plus grave", a concédé lundi la directrice de l'agence nationale de cybersécurité américaine. La menace a été jugée si importante au Canada que des milliers de services administratifs en ligne ont été désactivés en guise de précaution. Dans le monde entier, des analyses sont en cours pour mesurer l'ampleur des dégâts et évaluer les risques potentiels. Explications.

D'où vient la faille ?

Tout a commencé vendredi 10 décembre, lorsque des chercheurs ont annoncé avoir mis au jour une faille dite "zero-day" dans un module présent au sein de Java, un langage de programmation informatique développé par la fondation Apache utilisé par environ un tiers des serveurs dans le monde. La vulnérabilité avait initialement été signalée le 24 novembre par des ingénieurs sécurité de Alibaba Cloud.

Les failles "zero-day" sont particulièrement redoutées car elles désignent des brèches pour lesquelles aucun correctif n'a encore été apporté au moment de leur découverte. Celle qui préoccupe fortement les autorités et les experts en cyber du monde entier depuis quelques jours est baptisée Log4Shell ou LogJam. Elle se situe au niveau d'un composant logiciel de la bibliothèque de journalisation open source Log4j, une sorte de carnet de bord qui recense l'ensemble des événements qui ont lieu au sein d'une interface Web d'une application développée en java. Cet outil est utilisé par les administrateurs de plateformes et les développeurs pour journaliser les événements problématiques et y remédier.

Que permet la faille ?

À lire aussi

La faille permet à des tiers d'exécuter du script malveillant pour détourner cette bibliothèque et prendre la main sur les machines où ce composant est installé. Par ricochet, elle ouvre la voie à de multiples attaques envers les plateformes dont les serveurs ont recours à ce module. "Le mode opératoire de l'attaque est assez simple. La vulnérabilité permet l'exécution de code à distance sans avoir besoin de s'identifier. C'est une chaîne de caractères facilement maniable qu'il suffit d'injecter. Les attaquants peuvent l'utiliser de façon relativement discrète car elle donne l'illusion au système que vous vous comportez comme un utilisateur légitime", explique Nicolas Arpagian, directeur stratégie cybersécurité chez Trend Micro, joint par RTL.  

Cette faille est d'autant plus problématique qu'elle concerne beaucoup d'organisations. La bibliothèque de journalisation Log4j de la fondation Apache est massivement utilisée à travers le monde. Apple, Microsoft, Amazon, Twitter, Tesla, Google Cloud, ou IBM sont par exemple impactés. Au total, des centaines de millions de systèmes sont vulnérables sur le papier. De nombreuses entreprises ont publiquement réagi, assurant faire tout leur possible pour corriger le problème plus vite. Un patch a déjà été publié par la fondation Apache. Mais les créateurs de logiciels et les développeurs doivent désormais recompiler leurs codes et rafraîchir leurs systèmes avant de proposer une mise à jour aux organisations.

A-t-elle été exploitée ?

Les pirates du monde entier ne se sont pas fait prier pour exploiter la faille et tenter d'infiltrer des machines. Les attaques les plus spectaculaires se sont concrétisées à partir de vendredi, dans la foulée de l'alerte, lorsque des joueurs de Minecraft ont commencé à attaquer les serveurs du jeu. Elles ont pris plus d'ampleur depuis ce weekend. Des pirates du monde entier procèdent à des scans massifs d'Internet à la recherche de serveurs vulnérables. Selon l'entreprise de cybersécurité Check Point, 40 % des réseaux mondiaux avaient fait l'objet d'une tentative d'exploitation ce lundi, où plus de 100 tentatives d'exploitation de la faille ont été recensées chaque minute. Pour l'instant, les cas de compromissions avérés semblent plutôt rares ou relativement bénignes. Les experts évoquent surtout l'installation de logiciels de minage de cryptomonnaies à l'insu des propriétaires des machines. 

Mais le pire est peut-être à venir : les exploitations pourraient conduire à des attaques plus dommageables dans les prochaines semaines. "Il est légitime de penser que des gens ont industrialisé l'exploitation de cette faille pour infiltrer des systèmes. On risque potentiellement d'assister dans les prochaines semaines à la concrétisations des actions des attaquants, avec des rançongiciels ou des vols de données", avance Nicolas Arpagian.

L'Agence nationale de la sécurité des systèmes d’information (Anssi) a indiqué mardi qu’elle n’avait pas eu connaissance d’utilisation avérée pour des attaques plus dangereuses. Mais son directeur, Guillaume Poupard, s'est dit inquiet de découvrir que la faille ait pu être repérée et exploitée par des cybercriminels depuis plus longtemps qu'on ne l'imagine. En attendant, toutes les organisations sont invitées à faire l'inventaire de leurs systèmes informatiques et à mettre en place des mesures de contournement le cas échéant. Le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, a détaillé la marche à suivre sur son site.

La rédaction vous recommande

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

S’abonner à la Newsletter RTL Info

Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires.
Cette inscription sera valable sur le site RTL.fr.

Signaler un commentaire

En Direct
/