Cybersécurité – La plus grande faille de la «dernière décennie» découverte
Publié

CybersécuritéLa plus grande faille de la «dernière décennie» découverte

Jeudi, une vulnérabilité de sécurité a été découverte dans l’informatique mondiale. Depuis, c’est la course pour tenter d’éviter que des pirates s’en emparent.

Cette vulnérabilité est incluse dans Log4j, un petit module issu de la fondation Apache repris dans de très nombreux logiciels.

Cette vulnérabilité est incluse dans Log4j, un petit module issu de la fondation Apache repris dans de très nombreux logiciels.

Reuters/Photo d’illustration

Une course contre la montre s’est engagée pour remédier à une vulnérabilité critique très répandue à travers l’informatique mondiale, découverte jeudi et potentiellement désastreuse si des pirates parviennent à l’exploiter.

Il s’agit «de la plus grande et la plus critique des vulnérabilités de la dernière décennie», a alerté Amit Yoran, directeur général de la société américaine de cybersécurité Tenable.

La vulnérabilité est incluse dans Log4j, un petit module issu de la fondation Apache repris dans de très nombreux logiciels pour des fonctions de «journalisation», c’est-à-dire de relevé de «logs» (événements survenus sur le système).

Prendre le contrôle de la machine

Dans certaines versions de Log4j, la faille permet de prendre très facilement le contrôle de la machine qui l’héberge. Le pirate peut alors commencer à essayer de circuler dans le réseau informatique de la victime et y déployer rançongiciels et outils d’espionnage.

«Un étudiant en première année d’informatique, qui a les outils de base» pour développer un site web, est capable d’exploiter cette faille, a indiqué à l’AFP Loïc Guézo, secrétaire général du Clusif, une association française de spécialistes de cybersécurité.

Un correctif, mais…

La faille a fait l’objet d’un correctif, mais les pirates informatiques tentent de prendre de vitesse les entreprises qui tardent à l’appliquer. «Depuis vendredi, des scanners» utilisés par les pirates «testent les serveurs pour voir s’ils ont la vulnérabilité» et «ça n’a pas arrêté pendant tout le week-end», selon David Grout, l’un des responsables européens de la firme américaine de cybersécurité Mandiant.

Pour l’instant, les cas de compromissions avérés semblent rares ou relativement bénins. «Nous avons surtout observé des cas d’installation de «cryptominers»», ces programmes de minage de cryptomonnaie qui viennent s’installer sur les machines à l’insu de leur propriétaire, a décrit à l’AFP Philippe Rondel, de la société Checkpoint.

Empilement de composants

Pour ce spécialiste, le pire reste toutefois à venir. «Les groupes étatiques, les groupes de rançongiciels, vont d’abord chercher à gagner des accès sur d’autres machines», à partir de la première machine, a-t-il expliqué. «Les attaques visibles», au rançongiciel par exemple, «vont apparaitre d’ici quelques jours ou quelques semaines», a-t-il anticipé.

Du côté des défenseurs informatiques, la difficulté est d’identifier rapidement quels sont les logiciels et applications de l’entreprise qui utilisent ce petit module universellement répandu. Deux sociétés spécialistes de la vérification du code et de la chasse à la faille, la française YesWeHack et l’américaine HackerOne, ont appelé les entreprises à tirer rapidement les leçons de cette situation.

«Cette vulnérabilité vient nous rappeler que tout système informatique moderne est constitué d’un empilement de centaines ou milliers de composants, et que le risque peut venir du plus inattendu ou inconnu d’entre eux» a estimé YesWeHack. «En l’occurrence, (c’est) un composant utilisé par presque tous les systèmes, souvent sans même le savoir, pour une fonction anodine (…), qui s’avère aujourd’hui le talon d’Achille d’internet», a-t-elle souligné.

Demande de financement

De son côté, HackerOne en a profité pour demander aux entreprises de financer davantage son programme «Internet Bug Bounty», qui permet de rémunérer les hackers éthiques pour les failles qu’ils trouvent dans des programmes en logiciel libre.

«La moyenne des applications utilise 528 composants en logiciel libre», a indiqué la société américaine dans un communiqué, jugeant que «la plupart des organisations n’étaient pas en mesure de corriger facilement les failles» de ces composants lorsqu’elles sont découvertes.

(AFP)

Ton opinion

31 commentaires