Log4j ou Log4Shell : Faille de sécurité informatique critique sur les serveurs Apache qui menace tout Internet

Cybersécurité, les attaques continuent et une nouvelle faille, met en émoi tous les internautes, avec plus de 840.000 attaques en 72 heures, c’est un vrai fléau, qui a déjà touché plusieurs grands comptes, et qui a été dénommé « la pire faille de la décennie ».

Log4j : la faille critique dans les serveurs Apache qui menace tout Internet

Une faille critique dans Apache Log4j menace tout Internet; vendredi dernier, une faille de sécurité en apparence insignifiante, mais critique a été découverte dans Log4j. Et depuis lors, les hackeurs et les responsables de sécurité de plusieurs très grandes organisations dans le monde sont dans une course folle, pour tenter d’y faire face.

72 heures seulement après la découverte de la faille, des chercheurs en sécurité ont annoncé avoir recensé 840 000 attaques liées à la faille Log4j. Et parmi les cibles des attaques figurent des grands noms comme Apple, Amazon, IBM, Microsoft ou encore Cisco Systems. 

La faille critique dans Apache Log4j menace tout Internet. Sans plus tarder, découvrez dans cet article tout ce qu’il y a à savoir sur ce que les spécialistes en cybersécurité qualifient aujourd’hui de la « pire faille de la décennie ». 

Découverte de la vulnérabilité critique dans Log4j 

Depuis vendredi 10 décembre, les conversations de la planète cybersécurité tournent autour d’un seul sujet : la vulnérabilité dite Log4Shell, référencée CVE-2021-44228. Plusieurs médias, mais également des agences gouvernementales comme Cybersecurity and Infrastructure Security Administration (CISA) ou la NASA font partie de ceux qui ont partagé la nouvelle et ont alerté sur l’extrêmement dangerosité de cette vulnérabilité présente dans une bibliothèque de journalisation.

La vulnérabilité aurait été découverte le jour d’avant par l’équipe de sécurité du cloud d’Alibaba. Cette dernière a donné au faille le descripteur « Log4Shell » et l’a caractérisé comme « la vulnérabilité la plus importante et la plus critique de la dernière décennie ».

Toutefois, plusieurs sources affirment que la vulnérabilité aurait déjà été exploitée plusieurs jours sa divulgation au public. Matthew Prince par exemple, le cofondateur et PDG de Cloudflare, a tweeté samedi dernier qu’ils ont repéré la faille dès le 1er décembre, soit plus d’une semaine avant qu’elle ne soit largement connue. 

Seulement, le fait d’avoir rendu publique l’information selon quoi il existerait une faille dans Log4j, bien qu’il soit dans une certaine mesure nécessaire et inévitable, aurait également causé du tort à plusieurs organisations dans le monde. En effet, en apprenant cette nouvelle, des hackeurs ont accouru sur le logiciel qui permettait d’exploiter la vulnérabilité et ont commencé à attaquer plusieurs serveurs présentant la faille.

C’est quoi ce Log4j plus exactement ?

Log4j est un outil open source, principalement maintenu par des bénévoles, utilisé pour enregistrer ce qui se passe dans une application Java. Tous les services informatiques utilisent Log4j pour surveiller ce qui se passe sur leurs serveurs dans divers programmes basés sur la technologie Java. Il est notamment utile pour identifier les erreurs. 

La version 1.0 de Log4j a été publiée il y a près de 21 ans, depuis lors, Log4j est devenu un standard de facto pour cette observation, connue sous le nom de « logging ». La faille, explique la CISA, permettrait à un attaquant de prendre facilement le contrôle total de n’importe quel serveur vulnérable dans le monde. 

Comment les hackeurs exploitent-ils la faille dans Apache Log4j? 

Pendant que la nouvelle d’une faille critique dans Apache Log4j se répandait comme une trainée de poudre sur Internet, au même moment le logiciel permettant l’exploitation de la faille circulait aussi dans des forums célèbres de hacking. Il suffisait donc aux hackeurs de télécharger et d’utiliser le logiciel en question pour profiter de la faille et attaquer les serveurs de leur choix. 

Plus concrètement, pour prendre à distance le contrôle d’un serveur présentnt la vulnérabilité, les attaquants doivent exécuter des commandes sur le serveur ciblé en saisissant une chaîne de caractères bien précise. Une autre manière de procéder tout aussi simple consisterait aussi à saisir la chaîne de caractères dans une fenêtre de discussion du fameux jeu « Minecraft » pour pirater le serveur où est déployé celui-ci.

Dans un communiqué, l’agence de cybersécurité américaine CISA a aussi averti les utilisateurs que les appareils tels que les routeurs pourraient également être vulnérables à Log4Shell, sans malheureusement donner des détails à ce sujet. 

Que faire (les utilisateurs) pour sécuriser leur système ?

Les menaces sont bien réelles et le nombre des victimes ne cessent de grimper. C’est pourquoi les spécialistes en cyber sécurité recommandent aux organisations de faire un inventaire des systèmes qui utilisent Log4j, l’arrêt des systèmes vulnérables qui ne sont pas vraiment nécessaires et surtout une mise à jour de Log4j vers la version actuelle, à savoir la version 2.15.0. 

Pour information, sachez que quelques heures seulement après la découverte de la faille, l’Apache Software Foundation, qui n’est autre que l’organisation à but non lucratif derrière Apache, a publié une mise à jour de sécurité d’urgence pour corriger la vulnérabilité. La seule manière de réparer cette faille de sécurité serait de faire cette mise à jour. 

Vous n’êtes pas sûr d’être concerné par la vulnérabilité critique dans Log4j ? 

Que ce soit directement ou indirectement, toutes les entreprises qui dépendent d’Internet sont concernées de loin ou de près par cette menace. Pour ne pas être prises au dépourvu, vous devez donc, et ce sans perdre de temps, commencer à évaluer dans quelle mesure vous ou vos fournisseurs de services auxquels vos activités dépendent utilisent Log4j. 

Plus concrètement, voici ce que vous devez faire ! 

Demandez-vous les questions suivantes : 

Nos activités sont-elles menacées ? Donnez la parole à votre personnel informatique et de sécurité. Ils sont les mieux placés pour savoir si tel ou tel logiciel utilisé par l’entreprise utilise ou non Log4j. 

Nos fournisseurs utilisent-ils apache ? Les chances que vos fournisseurs de services informatiques utilisent Log4j sont plutôt grandes. Néanmoins, c’est une question que vous devez leur poser pour en être vraiment sûr. Si effectivement ils utilisent Log4j, demandez-leur s’ils ont mis à jour la dernière version de Log4j. 

Soyez toujours prêt à subir une éventuelle cyberattaque. 

Toujours prêt même au pire des scénarios est une règle qui prévaut en matière de cyber sécurité. Si vos évaluations ont conclu à un risque, même faible, assurez-vous donc d’être prêt à toutes les éventualités. Pour cela, préparez une équipe d’intervention prête à intervenir à tout moment en cas d’incident. Mettez également en place un plan de réponse adapté qui vous permettrait de reprendre rapidement vos activités même en cas d’incidents graves. 

Est-ce que ce genre d’incident a déjà eu lieu par le passé ?

Oui c’est le cas ! Même si Log4Shell est qualifié aujourd’hui de « vulnérabilité la plus importante et la plus critique de la dernière décennie », en 2014, Internet a déjà été victime d’un incident similaire causé cette fois-là par une faille baptisée Heartbleed. 

Là aussi, il s’agissait d’une vulnérabilité qui n’a été découverte qu’après 27 mois dans le composant logiciel open source répandu OpenSSL indispensable pour sécuriser les connexions Internet. À l’époque, des millions de serveurs Web présentaient la faille.

La vulnérabilité Heartbleed a été introduite par erreur dans le référentiel d’OpenSSL, à la suite d’une proposition de correction de bugs faite par un développeur bénévole. 

L’erreur Log4J transformée en pandémie,  plus de 840 000 attaques en 72 heures

Des chercheurs en sécurité ont récemment annoncé que plus de 840 000 cyberattaques liées à Log4Shell ont déjà été recensées 72 heures seulement après que l’existence de la faille ait été rendue publique. Parmi les organisations ciblées figurent des grands noms comme Apple, Amazon, IBM, Microsoft et Cisco.

Mais il n’y a pas que ces géants qui subissent en ce moment les acharnements des hackers, des sociétés plus petites, mais connues comme Check Point Software Technologies, un fournisseur mondial de services de Sécurité du système d’information, ont aussi déclaré avoir subi plus de 100 attaques Log4J par minute. Cette dernière a affirmé que la moitié des pirates identifiés étaient des pirates chinois connus. 

Auteur Antonio Rodriguez, Directeur Clever Technologies 

Autres articles :

Recent Articles