Les faits :
Après la faille Microsoft début décembre, c’est la faille de sécurité Log4Shell qui fait parler. C’est la Bundesamt für Sicherheit in der Informationstechnik (BSI) (l’équivalent de l’ANSSI en Allemagne) qui a dévoilé son existence le 10 décembre 2021.
Elle concerne la bibliothèque de journalisation Log4j développée par la fondation Apache. Une bibliothèque, aussi appelée librairie logicielle est un ensemble de fonctions et de classes qui ont déjà été codées dans un langage spécifique afin de développer des logiciels. Détournée, la bibliothèque Log4j peut faire fonctionner du code non autorisé sur un serveur.
Cette faille inquiète car la bibliothèque Log4j est très utilisée dans le monde, notamment par les grandes entreprises. Sont concernées par cette vulnérabilité : les versions 2.0 à 2.14.1. De plus, il s’agit d’une faille 0-day, c’est à dire qu’aucun correctif n’était disponible au moment de sa découverte.
Selon Jennifer Easterly, directrice de la CISA « C’est l’une des failles les plus sérieuses, voire la plus sérieuse, à laquelle j’ai été confrontée depuis le début de ma carrière » avec une menace de rang 10. (Source : France24)
Guillaume Poupard, directeur général de l’ANSSI : « j’ai peur qu’en creusant (…) on se rende compte de conséquences qui peuvent être relativement graves », a-t-il déclaré, ajoutant : « Ma crainte, c’est que la vulnérabilité ait été exploitée depuis beaucoup plus longtemps qu’on ne l’imagine. » Cette faille est effectivement exploitée activement
Des correctifs ont été développés
Apache a publié un correctif avec la version 2.15.0 de Log4j que nous vous recommandons d’installer dès que possible.
Pour les organisations concernées (entreprises, administrations…),mettre à jour leurs outils peut être fastidieux. Cela prend du temps car il faut s’assurer que ce « patch » ne pose pas de problème de compatibilité. (Source : LeMonde) Et d’autres ne savent peut-être pas encore qu’ils sont vulnérables …
En plus du correctif d’Apache, de nombreux éditeurs utilisant Log4j publient progressivement des d’autres correctifs. Cependant, en cas de difficulté de migration vers cette version, des mesures de contournement peuvent être temporairement appliquées.
Avant de Cliquer vous sensibilise à la cybersécurité…
- Tout d’abord nous vous conseillons de vérifier que vous n’êtes pas impacté par cette faille en faisant un inventaire de vos applications.
- Mettez à jour la librairie avec la version 2.16.00 (ou solution de contournement provisoire)
- Vérifiez vos logs afin de s’assurer qu’il n’y a pas eu d’attaque
- Mettez en place des solutions techniques et organisationnelles au sein de votre organisation pour sensibiliser vos équipes à la cybersécurité.
