Révélée le 9 décembre 2021 par la fondation Apache, Log4Shell a créé la panique à l’échelle planétaire. Elle est désormais considérée comme la plus grande faille de l’histoire de l’informatique.
Le 24 novembre dernier, Apache fut prévenue de la présence d’une faille dans un bout de code de leur librairie Log4J. À présent appelée Log4Shell, cette vulnérabilité s’est montrée particulièrement inquiétante de par le nombre d’appareils concernés par le problème.
Ce qu’on peut dire sur cette bibliothèque open source, c’est qu’elle est présente dans une très grande partie des systèmes informatiques du monde entier. Apple, Microsoft, Tesla… D’immenses entreprises sont touchées. On dénombre plusieurs centaines de milliers de cyberattaques.
Quels types d’attaques ?
Eh bien, tout type de malwares !
- Des botnets : le but étant d’installer toute une série de bots qui participeront à l’envoi de millions de courriers électroniques, ayant pour but la fraude à la carte bancaire à grande échelle.
- Des ransomwares : voler des fichiers pour ensuite en demander une rançon.
- Du minage de cryptomonnaies : utiliser la puissance d’un ordinateur pour valider des transactions sur la blockchain.
Une chose est sûre : les pirates n’ont pas attendu la sortie de la mise à jour 2.15 pour agir. Ainsi, dès le 1er décembre des tentatives d’exploitations étaient déjà détectées.
C’est le 9 décembre qu’Apache alerte ses utilisateurs et annonce la sortie de la mise à jour 2.15 supposée réparer la faille de niveau 10. Le mois s’est transformé en cauchemar quand on s’est aperçu de la présences de nouvelles failles, desquelles découleront les 2.16 et 2.17.
Les réactions pour certains ont été fermes. Le gouvernement canadien a par exemple décidé de fermer de manière préventive plusieurs milliers de sites gouvernementaux.
Le plus préoccupant dans cette histoire, c’est que l’on assiste à l’apparition de nouvelles vulnérabilités similaires à celle de Log4Shell sur d’autres outils open source.
Comment cela a-t-il pu arriver ?
La situation présente une certaine ironie. Car ce fragment de code fait partie des plus utilisés d’Internet et la maintenance de Log4J est principalement gérée… par quatre personnes !
Pour certains, cette situation pose la question du problème du financement des logiciels libres. Beaucoup de ces softwares présentent des failles semblables à Log4Shell car ils sont entretenus par des bénévoles. Certains n’agissent que « pendant leur temps libre », et ne perçoivent quasiment aucune rémunération pour leur travail.
Il paraît insensé de se dire qu’une part importante de la cybersécurité de nos ordinateurs et smartphones ne dépend que d’une poignée de personnes. C’est pourtant vrai.
Protéger votre entreprise, une priorité
Comme vous le savez, la cybersécurité est un enjeu majeur pour les entreprises. D’où l’intérêt, lorsque l’on n’est pas spécialiste du sujet, de faire appel à un expert pour ne courir aucun risque.
Synexie vous propose des offres de cybersécurité sur-mesure et adaptées à vos besoins. N’hésitez pas à nous contacter, nous pourrons échanger sur vos attentes et ces sujets qui nous passionnent.