Faille informatique Log4Shell : « nous vivons un séisme, mais il faut se préparer au tsunami »

Toute la sphère de la cybersécurité est obnubilée depuis près d'une semaine par la faille informatique Log4Shell, qui permet aux hackers de prendre le contrôle des ordinateurs vulnérables à distance. Les efforts des défenseurs se concentrent sur l'identification et la mise à jour du composant logiciel vulnérable, Log4j, répandu sur des milliers de machines. Mais le rapport de force avec les attaquants semble déséquilibré, tant la surface d'attaque est importante. D'après plusieurs experts, les premiers signaux de compromission ne sont qu'un avant-goût de la crise qui se profile. Explications.
François Manens

7 mn

La vague d'attaques n'a pas encore frappé les défenseurs.
La vague d'attaques n'a pas encore frappé les défenseurs. (Crédits : CCO/PxHere)

« Si l'on compare la vulnérabilité Log4Shell à un tsunami, nous sommes encore dans la phase de séisme, et nous attendons la vague. » Voilà comment Philippe Rondel, senior security architect chez Check Point, décrit à La Tribune l'ampleur de cette faille de sécurité informatique, dont le grand public ne mesure pas la gravité mais qui est incontestablement l'une des plus importantes de la décennie.

Vendredi 10 décembre, un chercheur rendait publique une faille informatique critique dans un composant logiciel peu connu, Log4j, présent sur des centaines de milliers d'ordinateurs. Cette vulnérabilité, immédiatement baptisée « Log4Shell », a déclenché un véritable branle-bas de combat dans le milieu, qui dure depuis.

Lire aussi 5 mn5 questions sur « Log4Shell », la faille informatique qui menace des milliers d'entreprises

« Log4j est partout »

L'objectif de la mobilisation ? Réparer les failles du composant avec une mise à jour, avant qu'elles ne soient exploitées par des hackers malveillants. Et pour cause : Log4Shell permet à un attaquant de déployer un vaste arsenal d'outils malveillants contre sa victime. Mais cette campagne de mise à jour est plus complexe à mettre en place qu'il n'y paraît. Résultat : la vulnérabilité devrait faire parler d'elle pendant encore de longues semaines, voire plus.

« Dans l'économie d'Internet, tout le monde s'appuie beaucoup sur la collecte d'informations. Vendredi, ceux qui ne le savait pas déjà se sont rendus compte qu'une immense partie des informations collectées sont traitées par le composant logiciel Log4j », raconte à la Tribune Erka Koivunen, responsable de la sécurité chez F-Secure. Et de poursuivre:

« Si la vulnérabilité avait touché un composant peu utilisé, elle n'aurait pas eu d'importance : on aurait vite trouvé qui était affecté et on aurait lancé des réparations ciblées, qui sont simples à déployer. Le problème, c'est que Log4j est partout, et on assiste donc à un incident épidémique. »

Les entreprises dans le noir

Le casse-tête posé par la faille va plus loin : les entreprises ne connaissent pas, pour la plupart, la liste exacte des composants des logiciels qu'elles utilisent. A la manière d'un Lego, chaque logiciel est composé de centaines, voire de milliers de pièces. Si l'utilisateur ne l'a pas assemblé lui-même, il ne saura pas quelle pièce se trouve au centre de la structure. De même, si de précédents développeurs l'ont assemblé, les nouveaux ne connaîtront pas forcément la composition exacte du logiciel. Comme chaque entreprise utilise des dizaines, voire des centaines de logiciels, la question "où se trouve Log4j ?" est démultipliée.

Pour pallier à cette situation, certaines institutions commencent à créer des listes de tous les logiciels qui étaient vulnérables à Log4Shell. Mais ces recensements ne sont que partiels à l'heure actuelle.

« Log4j est embarqué dans de très nombreux logiciels, eux-mêmes déployés sur toutes sortes d'appareils, des serveurs web aux appareils connectés, et personne ne s'est vraiment préoccupé de sa présence jusqu'ici. Il faut donc descendre profondément dans les couches logicielles pour le voir », abonde Philippe Rondel. « Le référencement humain actuellement effectué devrait trouver 20 à 30% des installations, mais il va falloir ensuite automatiser les recherches pour trouver le reste », diagnostique-t-il.

Une faille très facile à exploiter par les cybercriminels

Suite à la publication de la vulnérabilité, la majorité des grands éditeurs de logiciels a donc analysé le code de ses produits pour vérifier la présence ou non de Log4j. Mais ils ne sont pas les seuls à s'être attelés à la tâche : les cybercriminels aussi ont immédiatement commencé à scanner en masse Internet à la recherche d'instances de Log4j vulnérables. Il faut dire qu'en plus d'être largement répandue, la faille présente un autre atout de choix pour les attaquants.

« Elle est très facile à exploiter, car des preuves de concept et des kits d'exploitation ont rapidement été mis en ligne. En conséquence, l'attaquant n'a même pas besoin de savoir comment fonctionne la vulnérabilité pour l'exploiter », constate Félix Aimé, analyste chez Sekoia, interrogé par La Tribune.

Concrètement, il suffit aux hackers d'envoyer une commande d'une vingtaine de caractères pour que Log4j déclenche le téléchargement d'un logiciel malveillant, sans que la victime en soit notifiée. Cette manipulation peut être détectée ou bloquée par les défenses de la cible, mais tout le monde n'a pas le niveau de sécurité suffisant pour y résister, d'autant plus que les attaquants innovent sans cesse pour passer entre les mailles du filet.

« En moins de 72 heures, nous avons trouvé plus de 60 variantes de la vulnérabilité, c'est-à-dire 60 façons de dissimuler la commande qui va demander de télécharger le code malveillant », détaille Philippe Rondel. « Nous avons comptabilisé 830.000 tentatives d'attaques contre nos clients sur les trois premiers jours, un volume d'attaques très rare sur un tel laps de temps. »

Pour l'instant, cette vague d'attaques se traduit très rarement par des compromissions visibles, ce qui n'est pas forcément bon signe, d'après l'expert de Check Point. « Les cybercriminels essaient de pénétrer le maximum de systèmes afin d'installer des backdoors [des accès cachés au système informatique, ndlr], qui leur permettront de revenir plus tard pour lancer leurs attaques. Ils préfèrent se concentrer sur la compromission de masse tant qu'il existe de nombreuses vulnérabilités non corrigées, plutôt que de lancer des attaques abouties contre quelques systèmes informatiques. Les attaques seront déclenchées plus tard. »

D'après des observations de Cisco et Cloudflare rapportées par The Record, les premières traces de l'exploitation de Log4Shell datent du 1er décembre. Autrement dit, certains acteurs malveillants ont 10 jours d'avance sur les défenseurs, ce qui signifie que même une instance de Log4j rapidement protégée et mise à jour pourrait avoir été compromise.

Le tsunami se rapproche et durera longtemps

Six jours après la révélation publique de la vulnérabilité, les entreprises de sécurité commencent tout juste à remonter de premiers exemples d'attaques abouties. Lundi, BitDefender évoquait une nouvelle souche de rançongiciel -un type de logiciel malveillant capable de paralyser un système informatique- qui s'introduit sur les systèmes via Log4Shell. Le lendemain, Microsoft et Mandiant rapportaient que des organisations de cyberespionnage (ou "APT" dans le jargon) chinoises, iraniennes, nord-coréennes et turques exploitaient aussi la faille. Un constat sort de ces premiers retours : tous les types d'acteurs, des plus petits aux plus avancés, s'intéressent à Log4Shell.

« La situation deviendra critique quand les gros éditeurs de logiciels vont dire qu'ils ont dû corriger la faille de Log4j », anticipe Félix Aimé. Son raisonnement est partagé par d'autres experts : puisque les logiciels vulnérables seront mieux listés, les acteurs malveillants -notamment les plus dangereux- pourront cibler plus précisément leurs attaques, à la recherche de versions du logiciel qui n'auront pas reçu les mises à jour. « Mais pour l'instant, il y a beaucoup de bruit pour peu d'attaques réussies : les acteurs malveillants envoient des attaques à l'aveuglette, sans même savoir si elle sera adaptée à l'appareil visé », complète l'expert.

Le pire semble donc à venir pour les défenseurs, qui pourraient faire face à une vague d'attaques d'une ampleur rare dans un futur proche. Les attaquants ont à peine exploré le potentiel de la vulnérabilité, et ils devraient découvrir de nouveaux moyens de s'en servir. « Cette vulnérabilité va être exploitée pendant très longtemps, même si ce sera forcément dans des proportions moindres qu'aujourd'hui », prédit Erka Koivunen.  Elle va devenir un outil standard pour les pentesters [les auditeurs de cybersécurité, ndlr], ainsi que pour les cybercriminels pour les années à venir. »

François Manens

7 mn

Sujets les + lus

|

Sujets les + commentés

Commentaires 13
à écrit le 17/12/2021 à 13:37
Signaler
Vous imaginez, le jour où tout cela "tombe en carafe" alors que votre argent est virtualisé!!

à écrit le 17/12/2021 à 9:55
Signaler
Vous imaginez, le jour où tout cela "tombe en carafe" alors que votre argent est virtualisé!!

à écrit le 17/12/2021 à 9:45
Signaler
On nous expose les hackers comme des criminels alors qu'ils ne font qu’exploiter des failles déjà existantes pour nous pomper nos données afin de les vendre aux sociétés marchandes. La sécurité sur internet est une vaste escroquerie mais qui génère d...

le 21/12/2021 à 15:47
Signaler
Détrompez-vous sur la nocivité de ces vrais criminels ! Quand ils bloquent le système d'information d'un hopital ou d'une clinique, ils peuvent faire et ils font sans vergogne des victimes humaines.

à écrit le 16/12/2021 à 17:55
Signaler
On a le discours du milieu banquaire qui nous assure la parfaite sécurité d'Internet et des appareils mobiles .D'un autre ,nous avons nos présidents et dirigeants qui sont piratés facilement ,des sociétés à gros moyens piratées ,des ministères pirat...

le 17/12/2021 à 0:34
Signaler
Yes !

à écrit le 16/12/2021 à 17:25
Signaler
j'espere quand meme que c'est pas une decouverte que net net n'est pas un monde securise, il a ete develippoe sous arpanet pour ne pas l'etre, precisemment! du temps ou on avait des lignes rnis, il fallait freaker, c'etait un autre probleme...

à écrit le 16/12/2021 à 15:59
Signaler
Au delà du Big One, j'imagine que nous sommes conscients que ce numérique est extrêmement fragile.. Un simple orage solaire nous renverrais aux années 1930 et encore... Et en cas de guerre une bombe à impulsion électromagnétique pétant en altitude no...

le 16/12/2021 à 16:27
Signaler
Ne le répétez pas... ça risque d'arranger plein de monde, quoi de mieux pour eraser les dettes ? Tous les compteurs à zéro...

à écrit le 16/12/2021 à 12:46
Signaler
Le meilleurs moyen de ne pas s'exposer c'est de garder un logiciel d'exploitation propre et de gérer d'autres applications sur des clés . Il y aura moins de trous sur la raquette .

le 17/12/2021 à 7:52
Signaler
vous n y connaissez rien ! log4j (que j ai utilisé) est un outil pour faire des logs (c est a dire les traces pour le debug ou l anylse de probleme). C est utilisé surtout sur de grosses applocations qui tournent 24/24 7/7 sur des serveurs, pas sur d...

à écrit le 16/12/2021 à 11:58
Signaler
Oui ben aujourd'hui c'est celle là demain ce sera une autre. Faudra patcher c'est tout.... C'est un peu pour ça qu'on a des administrateur systèmes...

à écrit le 16/12/2021 à 11:57
Signaler
Pourquoi en parle-t-on ? Tous ce que la planète regorge de cyber-racaille doit être sur le coup maintenant !

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.