« Si l'on compare la vulnérabilité Log4Shell à un tsunami, nous sommes encore dans la phase de séisme, et nous attendons la vague. » Voilà comment Philippe Rondel, senior security architect chez Check Point, décrit à La Tribune l'ampleur de cette faille de sécurité informatique, dont le grand public ne mesure pas la gravité mais qui est incontestablement l'une des plus importantes de la décennie.
Vendredi 10 décembre, un chercheur rendait publique une faille informatique critique dans un composant logiciel peu connu, Log4j, présent sur des centaines de milliers d'ordinateurs. Cette vulnérabilité, immédiatement baptisée « Log4Shell », a déclenché un véritable branle-bas de combat dans le milieu, qui dure depuis.
« Log4j est partout »
L'objectif de la mobilisation ? Réparer les failles du composant avec une mise à jour, avant qu'elles ne soient exploitées par des hackers malveillants. Et pour cause : Log4Shell permet à un attaquant de déployer un vaste arsenal d'outils malveillants contre sa victime. Mais cette campagne de mise à jour est plus complexe à mettre en place qu'il n'y paraît. Résultat : la vulnérabilité devrait faire parler d'elle pendant encore de longues semaines, voire plus.
« Dans l'économie d'Internet, tout le monde s'appuie beaucoup sur la collecte d'informations. Vendredi, ceux qui ne le savait pas déjà se sont rendus compte qu'une immense partie des informations collectées sont traitées par le composant logiciel Log4j », raconte à la Tribune Erka Koivunen, responsable de la sécurité chez F-Secure. Et de poursuivre:
« Si la vulnérabilité avait touché un composant peu utilisé, elle n'aurait pas eu d'importance : on aurait vite trouvé qui était affecté et on aurait lancé des réparations ciblées, qui sont simples à déployer. Le problème, c'est que Log4j est partout, et on assiste donc à un incident épidémique. »
Les entreprises dans le noir
Le casse-tête posé par la faille va plus loin : les entreprises ne connaissent pas, pour la plupart, la liste exacte des composants des logiciels qu'elles utilisent. A la manière d'un Lego, chaque logiciel est composé de centaines, voire de milliers de pièces. Si l'utilisateur ne l'a pas assemblé lui-même, il ne saura pas quelle pièce se trouve au centre de la structure. De même, si de précédents développeurs l'ont assemblé, les nouveaux ne connaîtront pas forcément la composition exacte du logiciel. Comme chaque entreprise utilise des dizaines, voire des centaines de logiciels, la question "où se trouve Log4j ?" est démultipliée.
Pour pallier à cette situation, certaines institutions commencent à créer des listes de tous les logiciels qui étaient vulnérables à Log4Shell. Mais ces recensements ne sont que partiels à l'heure actuelle.
« Log4j est embarqué dans de très nombreux logiciels, eux-mêmes déployés sur toutes sortes d'appareils, des serveurs web aux appareils connectés, et personne ne s'est vraiment préoccupé de sa présence jusqu'ici. Il faut donc descendre profondément dans les couches logicielles pour le voir », abonde Philippe Rondel. « Le référencement humain actuellement effectué devrait trouver 20 à 30% des installations, mais il va falloir ensuite automatiser les recherches pour trouver le reste », diagnostique-t-il.
Une faille très facile à exploiter par les cybercriminels
Suite à la publication de la vulnérabilité, la majorité des grands éditeurs de logiciels a donc analysé le code de ses produits pour vérifier la présence ou non de Log4j. Mais ils ne sont pas les seuls à s'être attelés à la tâche : les cybercriminels aussi ont immédiatement commencé à scanner en masse Internet à la recherche d'instances de Log4j vulnérables. Il faut dire qu'en plus d'être largement répandue, la faille présente un autre atout de choix pour les attaquants.
« Elle est très facile à exploiter, car des preuves de concept et des kits d'exploitation ont rapidement été mis en ligne. En conséquence, l'attaquant n'a même pas besoin de savoir comment fonctionne la vulnérabilité pour l'exploiter », constate Félix Aimé, analyste chez Sekoia, interrogé par La Tribune.
Concrètement, il suffit aux hackers d'envoyer une commande d'une vingtaine de caractères pour que Log4j déclenche le téléchargement d'un logiciel malveillant, sans que la victime en soit notifiée. Cette manipulation peut être détectée ou bloquée par les défenses de la cible, mais tout le monde n'a pas le niveau de sécurité suffisant pour y résister, d'autant plus que les attaquants innovent sans cesse pour passer entre les mailles du filet.
« En moins de 72 heures, nous avons trouvé plus de 60 variantes de la vulnérabilité, c'est-à-dire 60 façons de dissimuler la commande qui va demander de télécharger le code malveillant », détaille Philippe Rondel. « Nous avons comptabilisé 830.000 tentatives d'attaques contre nos clients sur les trois premiers jours, un volume d'attaques très rare sur un tel laps de temps. »
Pour l'instant, cette vague d'attaques se traduit très rarement par des compromissions visibles, ce qui n'est pas forcément bon signe, d'après l'expert de Check Point. « Les cybercriminels essaient de pénétrer le maximum de systèmes afin d'installer des backdoors [des accès cachés au système informatique, ndlr], qui leur permettront de revenir plus tard pour lancer leurs attaques. Ils préfèrent se concentrer sur la compromission de masse tant qu'il existe de nombreuses vulnérabilités non corrigées, plutôt que de lancer des attaques abouties contre quelques systèmes informatiques. Les attaques seront déclenchées plus tard. »
D'après des observations de Cisco et Cloudflare rapportées par The Record, les premières traces de l'exploitation de Log4Shell datent du 1er décembre. Autrement dit, certains acteurs malveillants ont 10 jours d'avance sur les défenseurs, ce qui signifie que même une instance de Log4j rapidement protégée et mise à jour pourrait avoir été compromise.
Le tsunami se rapproche et durera longtemps
Six jours après la révélation publique de la vulnérabilité, les entreprises de sécurité commencent tout juste à remonter de premiers exemples d'attaques abouties. Lundi, BitDefender évoquait une nouvelle souche de rançongiciel -un type de logiciel malveillant capable de paralyser un système informatique- qui s'introduit sur les systèmes via Log4Shell. Le lendemain, Microsoft et Mandiant rapportaient que des organisations de cyberespionnage (ou "APT" dans le jargon) chinoises, iraniennes, nord-coréennes et turques exploitaient aussi la faille. Un constat sort de ces premiers retours : tous les types d'acteurs, des plus petits aux plus avancés, s'intéressent à Log4Shell.
« La situation deviendra critique quand les gros éditeurs de logiciels vont dire qu'ils ont dû corriger la faille de Log4j », anticipe Félix Aimé. Son raisonnement est partagé par d'autres experts : puisque les logiciels vulnérables seront mieux listés, les acteurs malveillants -notamment les plus dangereux- pourront cibler plus précisément leurs attaques, à la recherche de versions du logiciel qui n'auront pas reçu les mises à jour. « Mais pour l'instant, il y a beaucoup de bruit pour peu d'attaques réussies : les acteurs malveillants envoient des attaques à l'aveuglette, sans même savoir si elle sera adaptée à l'appareil visé », complète l'expert.
Le pire semble donc à venir pour les défenseurs, qui pourraient faire face à une vague d'attaques d'une ampleur rare dans un futur proche. Les attaquants ont à peine exploré le potentiel de la vulnérabilité, et ils devraient découvrir de nouveaux moyens de s'en servir. « Cette vulnérabilité va être exploitée pendant très longtemps, même si ce sera forcément dans des proportions moindres qu'aujourd'hui », prédit Erka Koivunen. Elle va devenir un outil standard pour les pentesters [les auditeurs de cybersécurité, ndlr], ainsi que pour les cybercriminels pour les années à venir. »
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés