Log4Shell : la faille de sécurité qui affole Internet

Une vulnérabilité découverte récemment dans une bibliothèque Java engendre une vague inédite d'attaques sur des serveurs, créant la panique chez la plupart des géants d'Internet. Pour les experts, la situation est grave.

À la mi-décembre 2021, un vent de panique a soufflé dans les services informatiques de la plupart des entreprises, des administrations et des organismes du monde entier. Et pour cause : une vulnérabilité qualifiée de "grave" par les experts en sécurité venait d'être découverte dans un module logiciel massivement utilisé sur des serveurs et donc sur Internet. Une faille qui met en danger des services en ligne critiques – pour ne pas dire essentiels – et emblématiques comme ceux d'Apple, d'Amazon, de Google, de Steam, de Minecraft, de LinkedIn, de CloudFlare, de Tesla, d'IBM, de VMWare, d'Apache ou de Baidu pour ne citer que les plus célèbres. La situation est réellement inquiétante, comme le soulignent le CERT-FR (le nouveau nom du CERTA, le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques) et l'ANSSI (l'Agence nationale de la sécurité des systèmes d'information) dans un bulletin d'alerte publié le 10 décembre 2021. Tous les responsables sont sur le pont avec leurs équipes pour colmater la brèche au plus vite, d'autant que les pirates se sont déjà lancés dans des attaques agressives en exploitant cette vulnérabilité. Aux dires des experts, la fin d'année va être très mouvementée chez tous les acteurs de l'Internet…

Une vulnérabilité dans une bibliothèque Java

Comme le raconte BleepingComputer, tout a commencé le 24 novembre dernier, quand les services de sécurité d'Alibaba – le géant de la distribution en Chine, qui possède notamment AliExpress – ont découvert un problème lié à Java, le célèbre langage informatique. Plus exactement, une vulnérabilité de type zero-day – c'est-à-dire non corrigée – dans un module pour Java. Baptisée Log4Shell et classée sous la référence CVE-2021-44228, cette faille de sécurité concerne Log4j, une bibliothèque de journalisation Java développée par la fondation Apache, qui sert essentiellement à enregistrer des informations comme des rapports d'erreurs ou de connexion. De simples données textuelles donc, en principe "passives". Le problème que les experts d'Alibaba ont découvert, c'est qu'il était possible d'utiliser cette bibliothèque pour faire exécuter du code au serveur à distance, et ainsi le contrôler en partie pour le détourner de sa fonction initiale. En utilisant certains caractères, on peut de fait intégrer des instructions qui sont interprétées et demander à l'application en cours d'aller chercher du code sur un autre serveur. En clair, une porte ouverte à toutes sortes d'attaques, de détournements et d'actes malveillants.

Sitôt informée, la fondation Apache a publié un correctif pour Log4j en informant tous les utilisateurs de sa bibliothèque. La nouvelle s'est immédiatement répandue et tous les acteurs concernés se sont mis au travail pour adapter et protéger leurs systèmes. Certains ont réagi très vite, à l'image qui a trouvé une solution pour son service iCloud. Mais la tâche est énorme, car il faut d'abord faire l'inventaire de tous les modules qui s'appuient sur la bibliothèque fautive, ce qui n'est pas simple sur les services complexes mettant en jeu de multiples modules. 

Des centaines de milliers d'attaques en quelques jours

Comme il fallait s'en douter, la nouvelle n'a pas échappé non plus aux pirates qui se sont précipités sur la brèche pour mener leurs campagnes. Selon CloudFlare, les attaques ont commencé dès le 1^er décembre, soit quelques jours à peine après la découverte de la faille. Depuis, Sophos et Check Point ont déjà relevé plusieurs centaines de milliers d'attaques et de tentatives d'exploitation, beaucoup provenant de groupes de pirates bien connus, notamment de Russie comme l'avance Kaspersky. Une véritable ruée ! Et les hackers redoublent d'ingéniosité et de réactivité, certains développant des dizaines de variantes d'attaques chaque jour, en utilisant plusieurs techniques sophistiquées pour exploiter la faille. Des attaques qui s'effectuent également via des botnets (des robots logiciels en réseau) : NetLab 360 a déjà observé des "exploits" s'appuyant sur Log4Shell pour installer des portes dérobées sur des systèmes Linux et Cados Security a repéré un robot installant des mineurs de cryptomonnaie sur des serveurs… Les ordinateurs sous Windows ne sont pas épargnés. Bitdefender a ainsi signalé des installations d'un ransomware baptisé Khonsari et d'une porte dérobée appelée Orcus déjà effectuées via la faille Log4Shell. 

En pratique, Log4Shell ne touche pas directement les particuliers pour le moment. Il n'y a rien à faire de spécial sur les ordinateurs, les smartphones ou les autres appareils connectés pour combler cette faille et se prémunir des dangers qu'elle engendre : il faut surtout veiller à appliquer toutes les mises à jour de sécurité qui apparaîtront dans les prochains jours. Tout se joue au niveau des entreprises et des organismes qui utilisent Log4j sur leurs serveurs. C'est une guerre ouverte qui se mène en cette épode de fêtes, doublée d'une course contre la montre. Avec des conséquences que l'on ose à peine imaginer. Jen Easterly, la directrice de l'agence américaine de cybersécurité CISA, estime  que plusieurs centaines de millions de systèmes (ordinateurs et serveurs) sont vulnérables, déclarant même que Log4Shell est l'une des plus importantes failles qu'elle ait vue dans sa carrière, si ce n'est la plus importante. De quoi faire trembler la planète Internet et l'économie mondiale.