CybersécuritéCourse contre la montre pour remédier à une vulnérabilité critique
ATS
13.12.2021 - 20:17
Une course contre la montre s'est engagée pour remédier à une vulnérabilité critique très répandue à travers l'informatique mondiale. Découverte jeudi, elle pourrait potentiellement être désastreuse si des pirates parviennent à l'exploiter.
Keystone-SDA
13.12.2021, 20:17
ATS
Il s'agit «de la plus grande et la plus critique des vulnérabilités de la dernière décennie», a alerté Amit Yoran, directeur général de la société américaine de cybersécurité Tenable.
La vulnérabilité est incluse dans Log4j, un petit module issu de la fondation Apache repris dans de très nombreux logiciels pour des fonctions de «journalisation», c'est-à-dire de relevé de «logs» (événements survenus sur le système).
Dans certaines versions de Log4j, la faille permet de prendre très facilement le contrôle de la machine qui l'héberge. Le pirate peut alors commencer à essayer de circuler dans le réseau informatique de la victime et y déployer rançongiciels et outils d'espionnage.
«Un étudiant en première année d'informatique, qui a les outils de base» pour développer un site web, est capable d'exploiter cette faille, a indiqué à l'AFP Loïc Guézo, secrétaire général du Clusif, une association française de spécialistes de cybersécurité.
Correctif
La faille a fait l'objet d'un correctif, mais les pirates informatiques tentent de prendre de vitesse les entreprises qui tardent à l'appliquer.
«Depuis vendredi, des scanners» utilisés par les pirates «testent les serveurs pour voir s'ils ont la vulnérabilité» et «ça n'a pas arrêté pendant tout le week-end», selon David Grout, l'un des responsables européens de la firme américaine de cybersécurité Mandiant.
Pour l'instant, les cas de compromissions avérés semblent rares ou relativement bénins. «Nous avons surtout observé des cas d'installation de 'cryptominers'», ces programmes de minage de cryptomonnaie qui viennent s'installer sur les machines à l'insu de leur propriétaire, a décrit à l'AFP Philippe Rondel, de la société Checkpoint.
Le pire est à venir
Pour ce spécialiste, le pire reste toutefois à venir. «Les groupes étatiques, les groupes de rançongiciels, vont d'abord chercher à gagner des accès sur d'autres machines», à partir de la première machine, a-t-il expliqué.
«Les attaques visibles», au rançongiciel par exemple, «vont apparaitre d'ici quelques jours ou quelques semaines», a-t-il anticipé.
Du côté des défenseurs informatiques, la difficulté est d'identifier rapidement quels sont les logiciels et applications de l'entreprise qui utilisent ce petit module universellement répandu.
Deux sociétés spécialistes de la vérification du code et de la chasse à la faille, la française YesWeHack et l'américaine HackerOne, ont appelé les entreprises à tirer rapidement les leçons de cette situation.
Empilement de composants
«Cette vulnérabilité vient nous rappeler que tout système informatique moderne est constitué d'un empilement de centaines ou milliers de composants, et que le risque peut venir du plus inattendu ou inconnu d'entre eux» a estimé YesWeHack.
«En l'occurrence, (c'est) un composant utilisé par presque tous les systèmes, souvent sans même le savoir, pour une fonction anodine (...), qui s'avère aujourd'hui le talon d'Achille d'internet», a-t-elle souligné.
De son côté, HackerOne en a profité pour demander aux entreprises de financer davantage son programme «Internet Bug Bounty», qui permet de rémunérer les hackers éthiques pour les failles qu'ils trouvent dans des programmes en logiciel libre.
«La moyenne des applications utilise 528 composants en logiciel libre», a indiqué la société américaine dans un communiqué, jugeant que «la plupart des organisations n'étaient pas en mesure de corriger facilement les failles» de ces composants lorsqu'elles sont découvertes.