Log4Shell, la faille informatique qui fait trembler la planète
Elle s’appelle Log4Shell. Elle est présentée comme la faille la plus critique de l’histoire de l’informatique. Une course contre la montre est engagée depuis une quinzaine de jours à travers le monde.
C’est l’histoire d’un vent de panique qui commence le 9 décembre 2021. Une dizaine de jours plus tôt, un expert chinois découvre une erreur dans une ligne de code. Il la signale, puis la rend publique, via Twitter. Aussitôt, la communauté des responsables en sécurité informatique est prévenue, mais les hackers aussi ...
Et dans la foulée, on détecte les premières attaques, en provenance de Chine, d’Iran, de Corée du Nord : des scans massifs du réseau Internet pour identifier tous les ordinateurs vulnérables, prendre leur contrôle et y installer des logiciels invisibles qui vont "travailler" à distance pour les pirates, en faisant ce qu’on appelle du minage de cryptomonnaie. Cette technique consiste à mettre un ordinateur –piraté, dans le cas présent – au service des cryptomonnaies comme le Bitcoin, pour être rémunéré en contrepartie.
Une faille presque enfantine à "exploiter"
À chaque fois qu’un nouveau bug est découvert, on nous annonce une catastrophe. Cette fois, si la faille est si grave, c’est parce qu’elle touche un petit bout de logiciel open source, gratuit, auquel ont recours quasiment tous les serveurs de sites web, les ordinateurs et la plupart de nos téléphones portables.
À tel point qu’une partie de ceux qui utilisent ce bout de code informatique – une "bibliothèque" du langage Java, baptisée Log4J – n’en ont pas conscience. Et c’est bien le problème : le risque, c’est de ne pas se sentir concerné et ne pas faire les mises à jour qui corrigent la faille et qui sont pourtant disponibles. Trois mises à jour déjà depuis 15 jours ! Il faut dire que les deux premières présentaient, elles mêmes, une faille ! C’est véritablement un décembre cauchemardesque pour les responsables de sécurité informatique.L’autre raison qui explique la gravité de la situation, c’est que cette faille est très simple – presque enfantine – à exploiter. Il suffit – pour ainsi dire, dans certains cas – d’un copier-coller dans un "chat", autrement dit, sur une messagerie, pour l’exploiter. Les failles sont notées de 0 à 10, selon leur caractère critique ou pas. Et Log4Shell est à 10.
Des serveurs canadiens fermés préventivement
A-t-on une première idée des dégâts provoqués par cette faille ? La réponse à cette question est double. Il y a, d’un côté, ce que l’on sait : pas encore de catastrophe avérée mais des mesures de précaution spectaculaires comme au Canada, ces fermetures préventives de serveurs du gouvernement. En Allemagne, Bosch qui fait aussi des objets connectés, a reconnu être touché mais sans plus de détails.Ce qui est sûr, c’est que les entreprises sont vulnérables : les grandes, les GAFA, Apple, Microsoft notamment à travers son jeu Minecraft, Tesla, Steam (la plate-forme mondiale de jeu vidéo), Twitter, etc… mais aussi, en France, les PME-PMI – les administrations jusqu’aux particuliers mais il faudra du temps, plusieurs semaines encore, pour connaître l’ampleur de la brèche.Et puis, il y a ce que l’on ne sait pas, parce que cette faille, tellement simple, avait peut-être déjà été découverte par des hackers qui l’exploitaient peut-être depuis longtemps, sans que personne ne s’en soit rendu compte. Guillaume Poupard, le directeur général de l’ANSSI, l’agence nationale de sécurité des systèmes d’information, préfère rester optimiste. Selon lui, "Dans un mois, on n’en parlera probablement plus". Une seule condition : faire ses mises à jour sans attendre.