Coup de tonnerre sur la Toile : une faille de sécurité majeure vient d'être découverte dans une bibliothèque utilisée par de nombreux services, serveurs et administrations. Les experts prévoient de fortes perturbations dans les semaines à venir.
Une faille de sécurité secoue les géants du web et inquiète autant par sa facilité d'accès que par l'étendue des services qui reposent sur le programme où elle est présente. Voici ce qu'il faut savoir sur la « Log4Shell ».
Qu'est-ce que le Log4j ?
Le développement de logiciels est devenu une science complexe. Pour ne pas réinventer la roue à chaque projet, les développeurs utilisent très souvent des bibliothèques de programmes. Ce sont des morceaux de code déjà éprouvés, conçus par d'autres développeurs, sur lesquels on peut s'appuyer pour bâtir des applications et services plus complexes. Log4j est une bibliothèque de Java, l'un des langages de programmation les plus répandus dans le monde de l'informatique. Cet utilitaire sert à enregistrer l'activité d'une application dans ce qu'on appelle les « logs », sorte de grand indexe où sont conservés les moindres faits et gestes d'un logiciel et notamment les erreurs qui surviennent durant son utilisation.
Où se situe la faille ?
C'est un expert de l'entreprise Alibaba, géant chinois de la distribution concurrent d'Amazon, qui a découvert la vulnérabilité et qui l'a signalé à l'Apache Software Foundation, un ensemble de développeurs qui distribuent l'utilitaire Log4j. Il est possible d'exécuter du code non autorisé sur des serveurs utilisant leur bibliothèque. En effet, Log4j ne se contente pas de stocker l'activité d'un serveur ou d'une application : le programme peut être utilisé pour envoyer ces « logs » ailleurs, sur une base de données par exemple, tout en interprétant quelques lignes de code. C'est là que se situe la faille : des fonctions malveillantes peuvent être injectées ici et mettre à mal tout un environnement. Dans le pire des cas, si la sécurité n'a pas été renforcée en amont par l'entreprise ou l'administration qui utilise une application ou un service reposant sur Log4j, un pirate peut prendre le contrôle total du serveur, de l'ordinateur ou du réseau de l'entité.
Pourquoi cette inquiétude grandissante ?
Ce genre de faille assez fréquente n'est pas grave en soi puisque des correctifs peuvent être rapidement déployés. En revanche, c'est l'ampleur de l'utilisation de cette bibliothèque qui inquiète. Rares sont les serveurs, applications ou programmes qui n'utilisent pas Java et Log4j. Côté jeux vidéo, le hit planétaire Minecraft est notamment concerné. Le géant du téléchargement Steam ou encore CloudFlare, un mastodonte des données dans le Cloud, le sont aussi.
Plus généralement, cette faille peut toucher des administrations et d'innombrables entreprises. Au Canada, par exemple, des sites gouvernementaux ont même été fermés par mesure de précaution. En France, le directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi), Guillaume Poupard, a déclaré dans un communiqué que la vulnérabilité était « grave » et promettait « des fêtes de fin d'année un peu pénibles pour beaucoup d'experts ».
Pour le moment, aucune attaque majeure n'a été repérée, mais Microsoft, Amazon Web Services, Google Cloud ou encore IBM affirment être passés en mode de vigilance maximale, en reconnaissant que les services que ces entreprises proposent à leurs millions de clients sont potentiellement concernés. Pour autant, le site spécialisé dans la sécurité informatique BleepingComputer.com révèle que des robots écument déjà la Toile à la recherche de machines à attaquer, soit pour installer des mineurs de cryptomonnaies, soit pour enrôler une armée de serveurs afin de mener des attaques à grande échelle. La menace est sérieuse.
