Les équipes de sécurité des entreprises, grandes et petites, se démènent pour corriger une vulnérabilité auparavant inconnue appelée Log4Shell, qui a le potentiel de permettre aux pirates de compromettre des millions d’appareils sur Internet.
Si elle est exploitée, la vulnérabilité permet l’exécution de code à distance sur des serveurs vulnérables, donnant à un attaquant la possibilité d’importer des logiciels malveillants qui compromettraient complètement les machines.
“À l’heure actuelle, il semble que les hackers soient en train de tirer avantage de cette vulnérabilité pour installer des logiciels de mining de cryptomonnaies”, a indiqué à Managers Skander Zoghlami, expert IT et CEO de Dyxis. “On peut s’attendre aussi à ce que cette faille soit utilisée pour installer des ransomwares ou pour voler les données des entreprises”, a-t-il ajouté.
Certes, cette faille n’est pas la première ― et ce ne sera certainement pas la dernière. Mais ce qui fait sa particularité, c’est la difficulté de se protéger contre ses effets. Ceci n’est pas dû à la complexité technique de développer un rectificatif (ce dernier a été déjà développé) mais à la complexité logistique de la tâche.
La vulnérabilité se trouve en effet au niveau de log4j, une bibliothèque de journalisation open source utilisée par les applications et les services utilisant le langage de programmation Java. La journalisation est un processus dans lequel les applications conservent une liste courante des activités qu’elles ont effectuées, qui peuvent ensuite être examinées en cas d’erreur. La journalisation est un processus très courant dans le monde du développement, et log4j est l’une des bibliothèques les plus populaires dans ce domaine. Et c’est là que réside le problème.
“Plusieurs applications populaires en Tunisie utilisent log4j”, a noté Zoghlami. “C’est le cas, par exemple, des serveurs Tomcat, de la plateforme d’e-commerce Magento, du moteur de recherche Elasticsearch ou encore du très populaire logiciel de virtualisation VMWare”, a-t-il ajouté. Mais ceci est loin d’être une liste exhaustive, prévient-il. Au fait, le nombre de programmes impactés peut être estimé à des milliers, voire des dizaines de milliers !
Ceci est dû au fait que la faille est causée par une bibliothèque log4j qui a été installée par un logiciel qui peut être, à son tour, installé par un autre logiciel, chose qui est très commune dans le monde de l’informatique. “Il faut que les entreprises se fassent aider par des experts rien que pour pouvoir être sûres qu’elles sont impactées ou non”, a affirmé Skander Zoghlami. L’expert IT a indiqué que des scripts existent déjà pour tenter de détecter l’existence d’une version impactée de la bibliothèque, mais leur efficacité n’est pas garantie.
“C’est un vrai cauchemar!”, a affirmé notre interlocuteur.
Une mise à jour de la bibliothèque log4j a déjà été publiée pour atténuer la vulnérabilité, mais étant donné le temps nécessaire pour s’assurer que toutes les machines vulnérables sont mises à jour, Log4Shell reste une menace pressante.
La diversité des applications vulnérables à l’exploitation et l’éventail des mécanismes de livraison possibles signifient que la protection par pare-feu à elle seule n’élimine pas le risque. Théoriquement, l’exploitation pourrait même être réalisée physiquement en masquant la chaîne d’attaque dans un code QR qui a été scanné par une entreprise de livraison de colis, se frayant un chemin dans le système sans avoir été envoyé directement sur Internet.
En Tunisie, la popularité du langage de programme Java et des logiciels développés par ce langage fait que l’impact de cette crise de cybersécurité peut être dévastateur. “Plusieurs sites gouvernementaux ont été développés à l’aide de ces outils”, a prévenu Zoghlami. Pis encore, le CEO de Dyxis, fournisseur de services cloud, a affirmé à Managers que ses équipes ont d’ores et déjà détecté des tentatives d’usage de cette faille sur des serveurs en Tunisie.
Remédier à cette situation ne sera certainement pas facile. Et puisque la faille peut exister à n’importe quelle couche de l’infrastructure, “la collaboration et la communication entre les entreprises et leurs fournisseurs seront un must”, a souligné Zoghlami. Ce qui complique davantage la tâche, c’est le fait qu’il n’est toujours pas possible de mettre à jour la bibliothèque en question. “C’est le cas par exemple des entreprises qui n’ont pas accès au code de leurs applications ou de celles qui n’ont pas de contrats de maintenance pour les applications qui étaient développées par des tiers”, a noté Zoghlami.
Dans ce cas, l’expert recommande de créer une “enveloppe” pour contenir ces applications. “Il s’agit d’un mécanisme qui permet d’analyser les requêtes envoyées vers l’application en question pour essayer de détecter celles visant à tirer profit de cette faille”, a-t-il ajouté. Mais même cette mesure est loin d’être suffisante, puisque ces requêtes peuvent être acheminées sous plusieurs formes et à travers plusieurs canaux!
L’expert a tenu à saisir cette opportunité pour rappeler aux entreprises l’importance de multiplier la fréquence de backups déconnectés et de perfectionner leur plan de reprise d’activité après sinistre. “C’est très important”, a-t-il ajouté.
