Faille informatique Log4Shell : « nous vivons un séisme, mais il faut se préparer au tsunami »
Ce contenu est réservé aux abonnés La Tribune

La vague d'attaques n'a pas encore frappé les défenseurs.
CCO/PxHere
Ce contenu est réservé aux abonnés La Tribune

La vague d'attaques n'a pas encore frappé les défenseurs.
CCO/PxHere
« Si l'on compare la vulnérabilité Log4Shell à un tsunami, nous sommes encore dans la phase de séisme, et nous attendons la vague. » Voilà comment Philippe Rondel, senior security architect chez Check Point, décrit à La Tribune l'ampleur de cette faille de sécurité informatique, dont le grand public ne mesure pas la gravité mais qui est incontestablement l'une des plus importantes de la décennie.
Vendredi 10 décembre, un chercheur rendait publique une faille informatique critique dans un composant logiciel peu connu, Log4j, présent sur des centaines de milliers d'ordinateurs. Cette vulnérabilité, immédiatement baptisée « Log4Shell », a déclenché un véritable branle-bas de combat dans le milieu, qui dure depuis.
L'objectif de la mobilisation ? Réparer les failles du composant avec une mise à jour, avant qu'elles ne soient exploitées par des hackers malveillants. Et pour cause : Log4Shell permet à un attaquant de déployer un vaste arsenal d'outils malveillants contre sa victime. Mais cette campagne de mise à jour est plus complexe à mettre en place qu'il n'y paraît. Résultat : la vulnérabilité devrait faire parler d'elle pendant encore de longues semaines, voire plus.
À lire également
« Dans l'économie d'Internet, tout le monde s'appuie beaucoup sur la collecte d'informations. Vendredi, ceux qui ne le savait pas déjà se sont rendus compte qu'une immense partie des informations collectées sont traitées par le composant logiciel Log4j », raconte à la Tribune Erka Koivunen, responsable de la sécurité chez F-Secure. Et de poursuivre: