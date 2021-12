Sans entrer dans les détails techniques, une faille a été détectée dans cette bibliothèque Log4j. C’est un employé de la société chinoise Alibaba qui a lancé l’alerte le premier en novembre dernier. La fondation Apache, qui met à jour la bibliothèque en question, est discrètement avertie. Cette fondation est composée de développeurs et contributeurs bénévoles. Comme le montre l’illustration ci-contre : des géants font reposer une partie de leurs infrastructures sur une petite brique piochée ailleurs ( un paradoxe qui suscite parfois le débat dans le milieu, mais qui a ses raisons ). Petite donc, mais cruciale… et vulnérable.

Un dessin de la bande dessinée en ligne XKCD créée par Randall Munroe. Son but : expliquer que les infrastructures informatiques modernes sont avant tout un empilement de codes venus d'un peu partout. Et que les codes en question sont parfois maintenus pa © XKCD

Panique dans la tech

Le problème a été rendu public le 9 décembre dernier. Ce jour-là, des "proof of concept" (POC), des méthodes pour exploiter la faille, ont été mises en ligne. Aussitôt, des pirates se sont organisés pour scanner automatiquement les serveurs du monde entier à la recherche de cette vulnérabilité en particulier. C’est bien ça qui est sans précédent dans le cas qui nous occupe : le langage Java est très répandu dans le monde de l’informatique. Son éditeur Oracle affirme ainsi sur son site internet qu'"avec des millions de développeurs utilisant plus de 51 milliards de solutions JVM (Java Virtual Machine) dans le monde, Java reste la plateforme de développement de choix pour les entreprises et les développeurs."

Chez les développeurs, de la PME à la grande multinationale, c’est la panique à la veille du week-end. Car même des géants du web tels que Microsoft ou Amazon font appel à ce code maintenu par une équipe de bénévoles. Au Canada, le gouvernement a aussitôt fermé des milliers de sites et services officiels. L’Université du Québec à Chicoutimi a même été contrainte de reporter les examens après la fermeture de ses systèmes informatiques.

Des solutions ont rapidement été mises en place pour colmater la brèche. Mais c’est maintenant au tour des entreprises de faire leur travail et de réparer tous les endroits où elles ont utilisé ces quelques lignes vulnérables. Les particuliers ne sont donc pas directement concernés, sauf quelqu’un qui aurait installé un serveur informatique pour son usage personnel.

"C’est une librairie que beaucoup d’applications utilisent. Et ce dans beaucoup de secteurs : la santé, banques, assurances, site de commerce", nous explique un développeur qui suit le sujet de près depuis qu’il a été révélé au grand jour.

"Durant le week-end du 11-12 décembre, les POC sont déjà dans les mains des méchants qui automatisent les attaques. Pendant la semaine, d’autres vulnérabilités sont identifiées", retrace notre source qui a dû gérer ce problème en temps réel.

Il poursuit : "Des communications semblent dire que les corrections ne sont pas suffisantes. Les premières tentatives de scanning apparaissent dans les logs. On espère être en sécurité avec les correctifs. Mais tout s’emballe sur internet, beaucoup de personnes inspectent le code et trouvent d’autres problèmes. D’autres organisations sont beaucoup plus lentes à réagir et ont sans doute des correctifs en place le lundi ou mardi. Elles ont aussi beaucoup plus d’applications vulnérables qui doivent toutes être gérées, retestées et redéployées en production par différentes équipes."

Risques à long terme

Toutes les versions de Log4J ne sont pas concernées. Les entreprises, doivent donc à présent faire l’inventaire de ce qui est installé sur leurs machines. Sinon les risques sont grands : cryptage de données par des pirates qui réclameraient une rançon en retour, vol d’informations sensibles… "Je m’inquiète surtout d’applications que l’on ose plus mettre à jour, que l’on a oubliées et qu’on laisse tourner quelque part", glisse le développeur que nous avons contacté.

"Il est encore trop tôt pour mesurer l’impact concret de cette faille. Néanmoins, il n’est pas rare qu’un groupe malveillant qui a réussi à pénétrer un système informatique se fasse oublier quelque temps, avant de passer à l’action", s’inquiète Katrien Eggers, porte-parole du Centre pour la cybersécurité en Belgique (CCB), citée par Le Soir.

Faire le ménage avec prudence

Le travail sera fastidieux, reconnait-on du côté du Centre gouvernementale français de veille, d’alerte de réponse aux attaques informatiques (CERT-FR). "La mise à jour d'un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version", écrit le CERT sur son site internet.

En octobre dernier, notre séquence Le Marché Matinal sur La Première faisait en effet cette conclusion : "L’immense majorité des entreprises n’a pas d’assurance contre les cyber-risques. Certaines parce qu’elles ne se sentent pas concernées, mais elles sont de moins en moins nombreuses, d’autres parce qu’elles se sentent blindées techniquement, et d’autres qui n’y pensent tout simplement pas." Log4Shell sonne donc comme un signal d’alarme de plus dans un monde où tout ce qui se trouve "dans le cloud" est en fait hébergé physiquement sur un ordinateur, quelque part dans le monde.