5 questions sur « Log4Shell », la faille informatique qui menace des milliers d'entreprises

Publié le 10 décembre 2021 à 18:42 - Mis à jour le 11 décembre 2021 à 14:29

Ce contenu est réservé aux abonnés La Tribune

Les hackers surfent sur les craintes liees au coronavirus

Log4Shell concerne des milliers d'entreprises.

Kacper Pempel

Des milliers d'entreprises sont affectées par une vulnérabilité grave, fraîchement découverte dans la bibliothèque logicielle Log4j. Si des correctifs existent déjà pour réparer la faille, des cybercriminels tentent de profiter qu'ils ne soient pas encore déployés pour infecter leurs victimes avec des logiciels malveillants. Explications.

Mauvaise nouvelle pour les défenseurs. Ce 10 décembre, l'Agence nationale de la sécurité des systèmes d'information (Anssi), a publié une alerte au sujet d'une vulnérabilité dans Apache Log4j, un composant logiciel utilisé par des milliers d'entreprises.

Cette faille, baptisée « Log4Shell », permet à des attaquants de prendre le contrôle de l'appareil visé. Autrement dit, elle pourrait leur permettre d'infecter des milliers d'entreprises et autres organisation. Heureusement, l'Apache Software Foundation a déjà publié une mise à jour pour corriger la faille. Désormais, les équipes de cybersécurité sont engagées dans un contre-la-montre : elles doivent déployer la mise à jour avant que les attaquants n'exploitent la faille. Pour mieux comprendre la crise qui se profile, nous avons sélectionné 5 questions, et y avons répondu.

Qu'est ce que Log4Shell ?

Log4Shell (suivi sous l'identifiant CVE-2021-44228) est une vulnérabilité zero-day, c'est-à-dire une faille informatique qui n'avait pas de correctif quand elle a été découverte. Concrètement, des hackers peuvent la viser avec une cyberattaque pour prendre le contrôle à distance d'un appareil ou d'une application.

La vulnérabilité se trouve dans une bibliothèque logicielle Java nommée Log4j, un ensemble de fichiers très couramment utilisé pour gérer la journalisation, c'est-à-dire l'historique des actions effectuées sur une application.

Log4Shell a été rendue publique sur Twitter le 9 décembre par un chercheur chinois, dans un message accompagné d'une preuve de concept (POC), c'est-à-dire d'une démonstration de l'exploitation de la faille. De plus, le chercheur a déposé le code de sa POC sur la plateforme de partage Github.

Newsletter