Cybersécurité : 6 mois après, la terrible faille Log4Shell infecte encore des milliers d'entreprises
François Manens
Ce contenu est réservé aux abonnés La Tribune
François Manens
Ce contenu est réservé aux abonnés La Tribune
Comme le Covid, qui semble ne jamais en finir, le virus informatique Log4Shell va-t-il pourrir la vie des entreprises encore longtemps ? C'est bien parti pour en tout cas. Car six mois après son apparition, la plus grande faille informatique de l'histoire est toujours loin d'être résolue pour des milliers d'entreprises dans le monde, qui en subissent encore les conséquences.
Tout a commencé le 24 novembre 2021. Ce jour-là, des chercheurs découvraient une vulnérabilité informatique majeure, qualifiée "d'incident épidémique" comme le qualifiait dans les colonnes de La Tribune Erka Koivunen, responsable de la sécurité chez F-Secure. Située sur le composant logiciel Log4j, la faille rapidement nommée "Log4Shell" avait déclenché un véritable branle-bas de combat dans les équipes de sécurité des entreprises. Et pour cause : Log4j était utilisée par des milliers d'applications codées en Java (un des langages informatiques les plus utilisés au monde) et l'incident concernait donc des millions de machines appartenant à des milliers d'entreprises.
6 mois plus tard, bien qu'éclipsé par les craintes liées à la guerre en Ukraine, la menace Log4Shell n'a pas disparu. Le pic de la crise est passé mais la vulnérabilité entame désormais un nouveau cycle de vie. "Nous arrivons aujourd'hui au bout de la queue de la comète", explique à La Tribune Samuel Hassine, Directeur Stratégie et Opérations de cybersécurité de l'éditeur Tanium. Autrement dit, l'étape de la réponse à incident -particulièrement longue en raison des particularités de la faille- ne se termine que maintenant. Mais pour autant, l'exploitation de Log4Shell par des acteurs malveillants n'en est qu'à ses débuts.
À lire également
Samuel Hassine fait état d'un début d'accalmie après des mois très compliqués pour certaines entreprises, qui ont peiné à traquer la faille dans leurs réseaux informatiques. "Chez certains, la remédiation de la faille n'a pris que quelques jours. Mais chez d'autres, dépendants d'éditeurs extérieurs, elle a traîné dans le temps", développe-t-il. L'Apache Software Foundation, qui diffuse Log4j, a publié un correctif pour réparer la faille dès que celle-ci a été connue. Le problème, c'est que c'était ensuite à chaque éditeur utilisant Log4j de déployer lui-même ce patch. Certains s'y sont attelés immédiatement, d'autres ont traîné, soit par désintérêt, soit par méconnaissance du composant. Et c'est ici que la crise est passé à deux vitesses.
François Manens