Jeudi dernier, une nouvelle faille 0-day a commencé à faire la Une des journaux. Baptisée Log4Shell, cette faille de sécurité majeure a été découverte alors qu’elle commençait à être exploitée pour compromettre des serveurs de Minecraft. Ce qui rend cette faille de sécurité particulièrement grave, c’est qu’elle réside dans le composant Log4j, un bout de code java, inclus avec Apache, qui est nécessaire aux fonctionnalités de login – et qui est utilisé dans des millions d’applications et services.
Apple iCloud, Cloudflare, Twitter, Steam… de nombreux grands noms sont ainsi impactés par cette faille – par ailleurs très facile à exploiter, et les patchs n’arrivent qu’au compte-gouttes. Log4Shell ne nécessite que d’entrer un peu de code dans le champ de login des pages de connexion, et de lancer un serveur malicieux sur la machine du pirate. Si le serveur distant est touché par la faille, il devient alors possible d’accéder à des pages qui ne devraient normalement pas être accessibles par d’autres utilisateurs que les administrateurs système.
Selon les experts, la faille Log4Shell pourrait continuer de faire des dégâts pendant plusieurs mois
Mais aussi d’initier des connexions réseau à partir du serveur distant et d’exécuter du code malicieux sur celui-ci. Le tout avec les privilèges système, ce qui rend les exploitations de cette faille particulièrement graves et virulentes. Au cas où vous douteriez de la gravité de Log4Shell, cette faille a reçu une note rarissime de 10/10 dans la base CVE (la faille a pour numéro de code CVE-2021-44228). Certains affirment qu’elle était exploitée près d’une dizaine de jours avant sa découverte formelle.
Alors que va-t-il se passer maintenant ? Les plus grosses entreprises touchées commencent à appliquer des patchs pour colmater la faille. C’est déjà le cas sur les serveurs de Minecraft qui ne sont désormais plus vulnérables. Bien sûr, à cause de l’exploitation active de cette faille, il faut s’attendre dans les prochains mois à de nouvelles fuites de données sensibles, avec peut être à la clé des paires d’identifiant/mot de passe à changer. Néanmoins à ce stade, il y a peu de choses que les utilisateurs peuvent faire pour protéger leurs données.
Si ce n’est d’être patient et vigilant au cours des prochaines semaines. Il faudra notamment veiller à activer l’authentification double facteurs sur les comptes où ça n’est pas encore déjà le cas. Si vous pensez que des comptes particulièrement sensibles sont touchés, vous pouvez tenter de contacter les services concernés pour leur demander quelles mesures de sécurité ont été implémentées pour mettre fin à cette faille.
Lire aussi – Bluetooth : cette nouvelle faille majeure permet d’espionner votre localisation
Pour le reste, les internautes partout dans le monde n’ont d’autre choix que de patienter et de faire confiance à l’armée de développeurs qui vont devoir faire une croix sur leurs vacances de Noël pour corriger cet énorme problème de sécurité. Bien sûr, si vous êtes vous-même administrateur système, le meilleur conseil est de mettre au plus vite le composant Log4j à jour pour corriger la sécurité de votre infrastructure.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
“… le composant Log4j, un bout de code java, inclus avec Apache …” heu … sauf que apache est un webserver ecrit en C
Peut etre faites vous reference a la bibliotheque de librairies java nommée “Apache Commons” et qui, elle, contient log4j, pas grand chose a voir avec le produit “apache” …