« Lorsque toutes les recherches seront terminées, nous apprendrons peut-être qu'il s'agit de la plus grande vulnérabilité de l'histoire de l'informatique moderne ». Amit Yoran, le PDG de la société américaine Tenable, spécialisée dans la cybersécurité, ne mâche pas ses mots lorsqu'il évoque Log4Shell. Signalée le 24 novembre par un expert du géant chinois Alibaba, cette faille préoccupe au plus haut point les acteurs du secteur, en raison des dangers qu'elle représente pour des millions d'entreprises à travers le monde.
Comment fonctionne cette faille ?
Rendue publique jeudi 9 décembre, cette vulnérabilité exploite Log4j, une bibliothèque logicielle en open source programmée en langage Java. Développée par la fondation Apache, le serveur web le plus utilisé dans le monde en 2021, elle sert à enregistrer l'activité d'une application, par exemple pour recenser et conserver la trace de divers bugs à des fins d'amélioration.
Après examen, des chercheurs du monde entier ont confirmé que plusieurs versions de cette bibliothèque comportaient une vulnérabilité, baptisée Log4Shell, permettant d'exécuter à distance un bout de code informatique non-autorisé. Des hackers au fait de cette faille peuvent envoyer certains caractères spécifiques à Log4j, qui les interprétera en allant chercher automatiquement un code malicieux sur un autre serveur afin de le faire fonctionner.
Qui est concerné ?
Si le risque est relativement faible pour les particuliers, il est bien plus conséquent pour les millions d'entreprises, organisations et administrations du monde entier qui utilisent Log4j. Des services gérés par Apple, Google, Amazon, Twitter, Tesla, Minecraft, Steam, Tencent, Baidu ont déjà été signalés comme vulnérables. Pire, les solutions de certains éditeurs de logiciel pourraient elles aussi être affectées, et exposer encore plus de victimes par effet de rebond. Serveurs, smartphones, objets connectés... Tout l'écosystème informatique est menacé.
Quelles sont les conséquences ?
Le niveau de gravité de cette faille dépend avant tout des protections adoptées par les entreprises visées. Dans le pire des cas, Log4Shell permet de prendre le contrôle complet d'un serveur et d'agir librement, à la manière d'un administrateur. Pour l'instant, cette vulnérabilité aurait surtout été exploitée pour installer des cryptominers, qui permettent de pomper la puissance d'une machine pour miner des cryptomonnaies. Le géant Microsoft a néanmoins déjà repéré plusieurs attaques par rançongiciel, lancées aussi bien par des cybercriminels que des hackers à la solde de puissances étatiques.
Il est également probable que des pirates aient exploité Log4Shell en toute discrétion, que ce soit pour préparer une attaque ultérieure ou pour exfiltrer des données afin de les revendre au prix fort. De cette manière, les données personnelles de millions d'utilisateurs se retrouveront peut-être à la merci de personnes malintentionnées. Agences gouvernementales et chercheurs en cybersécurité travaillent actuellement main dans la main pour évaluer l'ampleur des dégâts. Mais leur analyse pourrait durer jusqu'à plusieurs semaines. D'autant qu'on ignore pour l'instant depuis quand les hackers ont remarqué l'existence de cette faille, particulièrement simple à mettre en oeuvre.
Que faire face à cette faille ?
L'Agence nationale de la sécurité des systèmes d'information (Anssi) invite toutes les entreprises qui utilisent la bibliothèque Log4j à appliquer les correctifs publiés par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques. Guillaume Poupard, le directeur général de l'Anssi, a reconnu la gravité de cette vulnérabilité et a évoqué « des fêtes de fin d’année un peu pénibles pour beaucoup d’experts », qui devront vérifier que la sécurité informatique de leur organisation n'a pas été compromise. Comme toujours, les mises à jour restent absolument indispensables.
