Nombre d’informaticiens font des heures supplémentaires depuis vendredi dernier. Des chercheurs en sécurité ont découvert une faille de sécurité inconnue jusqu’ici dans du code utilisé dans un nombre incalculable d’applications. Mettez à jour vos systèmes, particulièrement s’ils utilisent des services de Java…
Une faille majeure a été découverte dans Log4j, une bibliothèque Apache Java qui est souvent ajoutée à de nombreuses applications pour gérer la journalisation des données, par exemple pour consigner des erreurs. Cette faille «zero day» permet aux pirates informatiques d’exécuter des codes à distance («Remote Code Execution», RCE).
Une faille très critique
«La faille de sécurité (CVE-2021-44228 1) est considérée comme critique, car elle peut être exploitée à distance et sans authentification par un pirate informatique pour exécuter un code malveillant. Le “Common Vulnerability Scoring System” (CVSS), qui détermine le degré de gravité des failles de sécurité, estime celle-ci à 10 sur 10», précise le Centre national pour la cybersécurité (NCSC) dans une note.
La liste des applications concernées est impressionnante. On trouve les plus grands noms comme Steam, Minecraft, Blender, LinkedIn, VMware et bien d’autres. L’impact peut aller de l’interruption de service à l’exécution d’un logiciel malveillant qui vole toutes les données des clients. Ces attaques pourraient entraîner une recrudescence des violations de données et l’ajout de nouveaux ordinateurs à des réseaux de botnets en vue de futures attaques.
Parmi les cinq pires vulnérabilités
«La vulnérabilité Log4shell dans Log4j est définitivement dans le top-5 des vulnérabilités les plus graves de la dernière décennie, celle qui permet l’exécution de code à distance (RCE). Elle est comparable à EternalBlue, utilisée par WannaCry, ou à la vulnérabilité ShellShock de Bash», estime Candid Wuest, vice-président de la recherche sur la cyberprotection chez Acronis (à voir ci-dessous).
«Ce qui la rend si grave, c’est la simplicité avec laquelle elle peut être exploitée à distance, ainsi que le nombre considérable d’applications qui l’utilisent. En outre, il faut plus de temps pour appliquer les correctifs, car il ne s’agit pas d’un seul logiciel vulnérable à mettre à jour, mais plutôt d’une bibliothèque incluse dans de nombreuses applications, ce qui nécessite l’installation de nombreuses mises à jour différentes», souligne-t-il.
XS
En savoir plus sur Le blog high-tech & telecom de Xavier Studer
Subscribe to get the latest posts sent to your email.
Inquiétant ce genre de problèmes. Pourquoi ces lignes de codes sont-elles aussi dangereuses?
De plus en plus inquiétant ce genre de faille
Toujours des failles et encore des failles…