Loading...Log4Shell est une vulnérabilité de sécurité qui permet aux hackers de prendre le contrôle des machines à distance, de paralyser un site ou une application ou bien de voler des données.
Avec une dangerosité notée 10/10 par un organisme de référence chargé de lister les vulnérabilités informatiques, elle est déjà jugée comme l’un des évènements les plus marquants de l’informatique moderne.
Le défi est alors simple à poser, mais colossal à relever : comment arrêter l’hémorragie et se prémunir d’une attaque ?
Mieux comprendre la vulnérabilité Log4Shell
Log4Shell désigne une vulnérabilité de sécurité qui touche Log4j, une bibliothèque en open source distribuée par la Fondation Apache. Programmée en Java, elle se retrouve dans de nombreux logiciels et serveurs. Sa fonction : enregistrer les activités et les erreurs d’une application à des fins d’amélioration.
Ici, trois informations importantes doivent être détaillées :
- Java est l’une des technologies les plus exploitées : elle est exécutée par 97% des bureaux d’entreprise et 3 milliards de téléphones mobiles.
- Une bibliothèque représente des morceaux de code qu’il suffit d’appeler pour réaliser une action. Elle permet aux développeurs de gagner un temps considérable et de se concentrer sur des tâches à plus forte valeur.
- Un projet open source est souvent plus sécurisé car le code source est accessible au public, qui peut l’inspecter et soulever des vulnérabilités.
C’est un membre de l’équipe d’Alibaba Cloud Security Team, Chen Zhaojun, qui a constaté que Log4j pouvait être utilisée pour exécuter du code à distance et sans authentification, et a alerté la Fondation Apache.
…pour mieux saisir l’ampleur des dégâts
Révélée le 9 décembre 2021, les chiffres concernant la faille de sécurité Log4Shell sont déjà vertigineux :
- Au moins 44% des systèmes mondiaux ont subi une tentative d’attaque, selon Check Point Software
- Plus de 1 000 tentatives d’attaque par seconde ont été recensées par Cloudflare
- Selon la Cybersecurity and Infrastructure Security Agency, plusieurs centaines de millions de systèmes seraient exposés
Par ailleurs, Github a établi la liste des logiciels concernés par la vulnérabilité critique Log4j.
Parmi les entreprises et les programmes à risques, citons Minecraft, Google, Amazon, Twitter, Apple, Tesla, Steam, Twitter, Redis, ElasticSearch et bien sûr Apache.
Sans oublier les organisations, les administrations et les solutions de certains éditeurs de logiciels.
Comment Log4Shell peut-elle ébranler les entreprises ?
La faille de sécurité Log4Shell revêt une ampleur inédite, que ce soit par sa force que par son intensité.
La force d’abord. L’exécution de code à distance permet aux hackers de :
- Voler des données pour les vendre
- Installer des malwares
- Contrôler ou bloquer les accès afin de réclamer une rançon
- Espionner d’autres appareils
- Prendre le contrôle du réseau informatique
L’intensité ensuite. Par la popularité et la fiabilité avérée du langage de programmation Java, Log4j est présent sur un nombre incalculable de machines et de serveurs. Il ne s’agit plus de semaines, mais d’années nécessaires aux DSI pour inspecter toutes les infrastructures et services et corriger les failles.
Solutions à court terme pour protéger son entreprise d’une attaque Log4Shell
À court terme, les entreprises peuvent déjà prendre plusieurs mesures pour protéger leur système informatique :
- Utiliser la dernière version de Log4j
- Faire un inventaire des services touchés
- Colmater la faille à l’aide de patchs
- Suivre les recommandations du CERT-FR (centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) et de l’ANSSI (agence nationale de la sécurité des systèmes d’information)
- Rester attentives aux mises à jour proposées par la Fondation Apache
- Installer une application web pare-feu
De leur côté, les utilisateurs peuvent :
- Faire la mise à jour des logiciels vulnérables
- Faire des sauvegardes à jour et conservées hors ligne
- Veiller à ce que les correctifs aient été appliqués par l’entreprise prestataire
Les solutions à long terme : Security by Design et Pen Tests
Afin de continuer leur activité en toute circonstance, les entreprises doivent faire preuve d’une vigilance constante et anticiper tous les scénarios d’attaques possibles pour les contourner.
En ce sens, deux pratiques de sécurité se distinguent :
- Security by Design : les équipes dédiées à la sécurité et au développement travaillent ensemble dès la phase de conception du produit. Le but : faire évoluer et renforcer son intégralité et son inviolabilité à chaque étape du cycle de vie, faciliter la maintenance pour en réduire les coûts.
- Pen Tests : les tests d’intrusion reproduisent les méthodes d’attaques et les techniques des hackers afin d’identifier les brèches de sécurité d’un système informatique ou d’un logiciel et de les colmater avant qu’elles ne soient exploitées.
Si vous souhaitez renforcer la sécurité de votre système informatique, lever des doutes sur sa vulnérabilité, prenez rendez-vous avec un Consultant Pentalog.
