« Log4Shell »: pourquoi il faut s'inquiéter de cette énorme faille de sécurité

Depuis quelques jours, une faille de sécurité, baptisée « Log4Shell», affole la toile. Et pour cause, elle pourrait faire de sérieux dégâts dans de nombreuses entreprises. Parmi lesquelles, des gros noms comme Amazon, Microsoft, Apple iCloud, Tesla, Minecraft ou encore certaines fonctionnalités de Google. Selon le quotidien allemand Suddeutsche Zeitung, l’hélicoptère Ingenuity de la Nasa communiquerait avec la Terre via des logiciels qui reposent sur le module touché par la vulnérabilité.

Jennifer Easterly, la directrice du CISA (Cybersecurity and Infrastructure Security Agency) craint que des « millions d'appareils » soient touchés. Elle parle de l'une « des plus graves vulnérabilités » jamais vue dans toute sa carrière, « si ce n’est la plus grave ».  Le CISA a d'ailleurs classé la faille au niveau 10 de menace sur l'échelle CVSS (Common Vulnerability Scoring System), soit le niveau d'alerte maximal.

Mais de quoi s’agit-il exactement? 

La faille concerne un module informatique appelé « Log4J » et distribué par l’Apache Software Foundation, une fondation de logiciels open source. Il s’agit d’une bibliothèque qui reprend des portions de code que l’on peut utiliser directement dans un programme. « Log4J » sert, entre autres, à recenser les erreurs dans un programme et à y remédier.

Concrètement, la faille permet d’utiliser cette bibliothèque pour faire exécuter du code sans authentification. Et ainsi accéder à des serveurs qui utilisent le module « Log4J». Des cybercriminels peuvent de la sorte faire exécuter du code malveillant à distance et effectuer toute une série d'actions. Plus simplement, comme l’explique Alexandre Horn, journaliste spécialisé en cybersécurité chez Numérama, « c’est un peu comme si un cambrioleur pouvait rentrer chez vous, changer des meubles de place, vous volez des objets. Et ce, sans avoir besoin de clé ». 

La faille a été détectée par un expert au sein de l'entreprise Alibaba. Le géant de l'e-commerce en Chine a signalé le problème fin novembre à la fondation Apache. Et la vulnérabilité a été rendue publique le 9 décembre dernier.

Pourquoi c'est grave? 

D'abord, parce que le module Log4J est très utilisé partout dans le monde. « L’outil est installé sur énormément de machines », explique Mathis Hammel, expert technique pour CodinGame, dans les colonnes du Monde. Selon Philippe Rondel, chercheur en sécurité informatique interrogé par nos confrères de France24, « il y a environ 30% des sites internet qui utilisent Log4J ». Ensuite, parce que les chercheurs s'accordent à dire que la faille est très facilement exploitable par des cybercriminels.

Il s'agit aussi d'une faille « 0-Day ». Comprenez qu’elle n’avait pas été recensée et qu’il n’existait donc pas de correctif au moment de sa découverte. Précisons que le module Log4J a été développé par une fondation gérée par un petit nombre de bénévoles.

© Belga Image

Concrètement, quels sont les risques? Tout dépend de la spécificité de chaque infrastructure. Cela peut aller de l'installation d'un virus destructeur, d'un logiciel espion, d'un ransomware, à l'extraction ou la suppression de données sensibles. Dans le pire des cas, la vulnérabilité pourrait permettre « de prendre le contrôle complet du serveur en tant qu’administrateur », selon Mathis Hammel, interrogé par nos confrères du Monde. Philippe Rondel craint, quant à lui, que la vulnérabilité soit utilisée « pour mettre un premier pied dans la porte de réseau d’entreprise pour y déployer des rançongiciels ». 

Les premières attaques

La faille n'a, pour l'instant, pas conduit à d'importantes attaques. Elle aurait principalement été exploitée pour installer des « crypto miners » sur des serveurs. Cela permet aux cybercriminels de miner des cryptomonnaies sans devoir payer la douloureuse facture d’électricité associée à cette activité.

Selon Matthew Prince, le PDG de Cloudfare, les premières attaques recensées datent du 1er décembre dernier.

Le fournisseur mondial de service de sécurité CheckPoint a, de son coté, enregistré plus d'1,8 million de tentatives d'exploitation de la faille. Avec plus de 60 nouvelles variations de l'attaque apparues en 24 heures. Selon les dernières observations de Checkpoint, 46% des réseaux d'entreprises dans le monde ont fait l'objet d'une tentative d'exploitation de la faille.

Selon Kapersky, la grande majorité des tentatives d'attaques proviendrait de la Russie. L'entreprise de sécurité informatique BitDefender a toutefois observé ce week-end des premières attaques « ransomwares ».

https://twitter.com/eastdakota/status/1469800951351427073

Que faire? 

Depuis le 10 décembre, Apache a publié un « patch », une mise à jour, pour corriger la faille. Il est donc assez facile de s'en prémunir. Mais les entreprises mettent généralement du temps à installer ce genre de correctif. Elles doivent notamment vérifier la compatibilité de ce dernier. D'autant plus que toutes ne savent pas forcément qu'elles ont recours à ce sous-logiciel.

Au Canada, des ministères fédéraux ont été jusqu’à désactiver des milliers de services en ligne par mesure de précaution. En France, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a conseillé aux organisations, peu importe leur taille, de faire l'inventaire de leur système informatique. 

https://twitter.com/CERT_FR/status/1469315313162403852

Chez nous, la CERT (Federal Cyber Emergency Team) a conseillé aux utilisateurs d’Apache Log4J d’installer les mises à jours disponibles. Elle qualifie la situation de « dangereuse ». Et à notre niveau, que peut-on faire? Pas grand chose...