Est-ce « la plus grande vulnérabilité de la dernière décennie, voire de l’histoire de l’informatique moderne », comme l’indique le PDG de Tenable, Amit Yoran ? La bibliothèque de journalisation Apache log4j contient une faille critique CVE-2021-44228, surnommée Log4Shell. Or, cet outil est l’un des plus utilisés pour le développement d’applications Java/J2EE : Minecraft, Tesla, Apple iCloud, Steam, Amazon, Twitter, etc. Autant dire que Log4Shell mobilise actuellement les équipes informatiques du monde entier.

D’après le Centre gouvernemental français de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), cette vulnérabilité « permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifié ».

Depuis la révélation de Log4Shell en fin de semaine dernière, des cybercriminels du monde entier se sont rués sur l’aubaine que représente la faille. L’expert CheckPoint a dénombré plus de 1.800.000 tentatives d’exploitation. 44% des systèmes informatiques mondiaux en auraient été la cible.

La fondation Apache a publié un correctif. Il est plus que conseillé de passer à la dernière version, 2.15.0, de log4j pour éviter d’être pris pour cible par des cybercriminels.

D’après Amit Yoran, « Comme nous l’avions prévenu, Log4Shell déchaîne l’enfer sur les entreprises du monde entier. Et le pire est encore à venir si les organisations ne prennent pas des mesures immédiates ». Pour enfoncer le clou, il ajoute : « Les organisations doivent prendre des mesures rapides et décisives car Log4Shell peut et va complètement saper votre programme de sécurité ».

Guillaume Poupard, le directeur général de l’Anssi, l’agence gardienne de la sécurité informatique française, est moins alarmiste et prédit des fêtes de fin d’année « un peu pénibles pour beaucoup d’experts » tout en estimant que « dans un mois, on n’en parlera probablement plus, ça sera résiduel. » Il y a cependant lieu de penser que la vulnérabilité a été exploitée avant d’être révélée au public le 9 décembre 2021. C’est ce qui inquiète le plus Guillaume Poupard.

Selon Tony De Bos, vice-président des services EMEA chez Kudelski Security, « La source du problème ne réside pas dans la provenance « open-source » du logiciel. En effet, on trouve autant de failles zero-day dans les logiciels commerciaux que dans les solutions open-source. Le véritable enjeu, ici, est le manque de sensibilisation à la sécurité – trop fréquent. Un développeur soucieux de la sécurité aurait désactivé la requête JNDI si le logiciel n’utilise pas cette fonctionnalité pour réduire la surface d’attaque potentielle ». Et de recommander de « gérer un référentiel de bibliothèques sécurisées dans le cadre d’un processus DevOps, et conformes à la stratégie générale de sécurité informatique de l’entreprise ».

Par ailleurs, Bitdefender déclare avoir observé le premier ransomware exploitant Log4Shell. Ce rançongiciel, baptisé Khonsari, est peu prolifique et peu efficace selon les chercheurs en cybersécurité. Il est cependant fonctionnel et parvient à chiffrer des fichiers.

« Soyons clair », prévient Amit Yoran, « ces activités de ransomware ne vont pas disparaître – elles ne feront que se développer comme une traînée de poudre, en partie grâce à cette nouvelle charge utile parfaite qu’est Log4Shell ».