Pourquoi cette faille de sécurité massive a un impact sur presque tout Internet
Une vulnérabilité majeure en matière de cybersécurité affecte presque tout Internet, envoyant tout, des institutions financières aux entités gouvernementales, se démenant pour corriger leurs systèmes, avant que les cybercriminels et les États-nations ne puissent lancer des cyberattaques.
Connue sous le nom de vulnérabilité Log4j, la faille affecte un logiciel de journalisation open source qui permet aux développeurs de comprendre le fonctionnement de leurs programmes. L’idée est d’aider les entreprises à comprendre les bogues potentiels ou les problèmes de performances dans leur propre logiciel.
Mais Log4j, qui fait partie du logiciel offert par l’open source Apache Software Foundation, peut être exploité pour permettre aux attaquants de s’emparer des ordinateurs et des réseaux de toute organisation exécutant le programme.
Des correctifs ont déjà été publiés, mais leur application est une autre histoire. Les organisations, qu’elles soient publiques ou privées, sont notoirement lentes lorsqu’il s’agit de mettre à jour leurs logiciels.
« C’est un problème très, très grave », a déclaré à Yahoo Finance Justin Cappos, professeur agrégé à la NYU Tandon School of Engineering. « Comme cela fait partie de la chaîne d’approvisionnement des logiciels, de nombreux logiciels différents peuvent être affectés. »
La crainte est que la faille puisse être utilisée par des attaquants pour prendre le contrôle à distance de tout système non corrigé et l’utiliser comme le leur. Selon les experts, cela pourrait donner aux cybercriminels les moyens de tout faire, du vol des données des utilisateurs à la prise de contrôle de l’infrastructure du monde réel.
Le danger de Log4j
La vulnérabilité Log4j est dangereuse pour deux raisons : à quel point le logiciel est largement utilisé et comment les attaquants peuvent tirer parti de la faille.
« Si vous avez la vulnérabilité et que je l’exploite, cela signifie que je peux exécuter mon code sur votre machine », a expliqué Herb Lin, chercheur principal au Center for International Security and Cooperation de l’Université de Stanford. « Alors maintenant, c’est comme si j’étais sur votre machine, et maintenant je peux faire tout ce que vous pouvez faire. »
Selon Lin, cela peut inclure des actions telles que voler des e-mails, détruire des fichiers et installer un ransomware. Et les dégâts potentiels ne s’arrêtent pas là.
« Je peux maintenant prendre le contrôle du générateur auquel votre ordinateur est connecté ou du commutateur téléphonique ou de l’usine chimique et ainsi de suite », a déclaré Lin. « Alors, c’est ça le problème. La vulnérabilité vient du fait que ce code a fait partie de millions et de millions et de millions d’installations à travers le monde.
Un autre problème majeur est le fait que vous, en tant qu’individu, n’avez aucun contrôle sur la question de savoir si les sociétés Internet en qui vous avez confiance pour protéger vos fichiers déploieront rapidement les correctifs appropriés.
« S’il y a un bogue à l’intérieur de Microsoft Word, je pourrais peut-être dire:« Oh, je n’utilise pas Microsoft Word. Je n’ai pas besoin de m’inquiéter pour ça, n’est-ce pas ? Mais ici, le problème est que vous ne savez peut-être même pas où le logiciel est utilisé », a déclaré Cappos.
Les criminels et les États-nations tentent déjà d’exploiter la vulnérabilité
Selon l’équipe de renseignement sur les menaces de Microsoft, la majorité des attaques liées à la vulnérabilité Log4j étaient liées à des tentatives d’analyse. Cela signifie que les attaquants essaient de voir si les victimes potentielles sont vulnérables aux attaques.
Pensez-y comme à un cambrioleur essayant les serrures de porte sur une rangée de voitures garées dans une rue sombre. Les cybercriminels essaient essentiellement de voir qui a verrouillé leurs portes et qui ne l’a pas fait.
Certains pirates informatiques, quant à eux, utilisent déjà la faille pour lancer des attaques, notamment en installant des mineurs de crypto sur les machines des victimes, en volant les informations d’identification des utilisateurs et en prenant des données à partir de systèmes compromis.
Microsoft (MSFT) affirme que des groupes en Turquie, en Chine, en Iran et en Corée du Nord développent également les moyens de tirer parti de la faille Log4j. Et certains groupes iraniens et chinois utilisent déjà l’exploit pour renforcer leurs propres capacités de cyberattaque existantes.
La Cybersecurity and Infrastructure Security Agency du Department of Homeland Security a déjà ordonné aux agences civiles fédérales de corriger leurs systèmes et a conseillé aux partenaires non fédéraux de le faire également.
Patcher Internet n’est pas facile
La résolution d’un problème comme la faille Log4j nécessite que les entreprises qui utilisent le logiciel téléchargent le correctif approprié. Mais il faudra du temps aux entreprises pour mettre en œuvre les derniers logiciels. C’est parce que les grandes organisations doivent également s’assurer que le correctif n’affecte pas leurs propres programmes.
Plus cyniquement, il y a le fait que certaines entreprises ne suivent tout simplement pas les meilleures pratiques de cybersécurité et ne corrigent donc pas leurs systèmes en temps opportun, voire pas du tout.
Que pouvez-vous faire? Rien, vraiment. La faille Log4j n’est pas quelque chose que la plupart des utilisateurs individuels peuvent résoudre. Il appartient aux entreprises qui disposent de leurs informations de résoudre elles-mêmes l’exploit. Et s’ils ne le font pas, alors vos données pourraient fuir dans la nature.
Inscrivez-vous à la newsletter Yahoo Finance Tech
Plus de Dan
Suivez Yahoo Finance sur Twitter, Facebook, Instagram, Flipboard, LinkedIn, Youtube, et reddit
Vous avez un conseil ? Envoyez un e-mail à Daniel Howley à dhowley@yahoofinance.com via un courrier crypté à danielphowley@protonmail.com, et suivez-le sur Twitter à @DanielHowley.