cc-forum1 (1).jpg

Actualité - Log4Shell, branle-bas de combat mondial

Dernière mise à jour : 13 janv.

Par Akim Laniel-Lanani et Mila Toum

Log4j2 et Log4Shell, qu’est-ce que c’est?


Log4j2 est un code intégré aux applications pour créer et gérer des événements de journal. Il crée, structure, formate et transmet des événements de journal de manière cohérente et automatique. Log4j2 permet, par exemple, d’inscrire des informations concernant des rapports d’erreurs, des connexions/déconnexions d’utilisateurs, des inscriptions dans une messagerie, etc.


Log4Shell est donc une faille de sécurité qui menace l’intégrité des serveurs et les informations qu’ils contiennent.


Quelle menace représente cette vulnérabilité ?


Développé en source libre et utilisant le langage de programmation Java, l’un des langages de programmation les plus populaires, Log4j2 est très utilisé à travers le monde dans le développement de toutes sortes d’applications web qui utilisent Java. On retrouve Log4j2 dans des services comme Apple (iCloud), Amazon, Twitter, Steam et bien plus encore.


On comprend donc l’inquiétude des organisations vis-à-vis de cette faille puisque l’utilisation de Log4j2 est extrêmement répandue. Ce qui fait en sorte qu’une vulnérabilité à son endroit est très inquiétante puisqu’elle se retrouve sur la grande majorité des appareils.


La vulnérabilité Log4Shell, en s’attaquant à Log4j2, permet de prendre possession des serveurs grâce à des codes malveillants, ce qui peut faciliter l’accès à des données personnelles ou sensibles.


Bien qu’il existe plusieurs définitions, McGraw et Morisett (2000) définissent un code malicieux comme étant « tout code ajouté, modifié ou enlevé à un logiciel dans le but de causer intentionnellement des dommages ou de porter atteinte au fonctionnement normal du système ».


En plus de permettre l’accès à des données confidentielles, Log4Shell est d’autant plus dangereuse puisqu’elle s'exécute à distance, de manière automatique et aléatoire. Ainsi, un pirate informatique peut, à partir de son appareil, se mettre à tester les sites web, jusqu’à ce qu’il trouve une porte d’entrée.


Comment est-ce exploitable ?


La faille est extrêmement facile à exploiter. Un acteur malicieux n’a qu’à communiquer à la librairie Log4j une ligne de code malicieux par le moyen de son choix.


Selon Luc Lefebvre (2021), président-cofondateur de Crypto.Québec, la librairie Log4j « permet d’enregistrer des contenus de discussions en ligne, à travers les systèmes de messagerie. Donc tout ce qui se dit entre des utilisateurs pourrait être [enregistré] par Log4j. [...] quelqu’un peut envoyer des messages qui sont [enregistrés] par Log4j comme s’ils étaient de simples messages dans un chat, mais en fait, ce sont des lignes de codes. Et le système les interprète alors comme une ligne de code et exécute la commande reliée à ce code ».


Le jeu populaire de Microsoft, Minecraft, en a fait les frais de cette vulnérabilité. Des pirates ont réussi à prendre le contrôle du serveur du jeu en exploitant la faille de sécurité mais heureusement, l’équipe de Microsoft a rapidement remédié à la situation en créant une mise à jour qui vient corriger la vulnérabilité et a incité ses usagers à faire la mise à jour de leur côté le plus rapidement possible.


Qu’est-ce que le gouvernement fait pour protéger vos données ?


En réponse à la découverte de la faille, le gouvernement du Québec a interrompu certains sites et services en ligne jusqu’à ce qu’il soit assuré que la vulnérabilité ne soit pas présente ou du moins jusqu’à ce que les correctifs appropriés soient apportés. Bien que la vulnérabilité soit facilement exploitable, il est également facile de la corriger. Le défi pour les équipes de sécurité informatiques des ministères est d'identifier tous les systèmes qui utilisent Log4j2. Heureusement, les organisations gouvernementales et les entreprises sont déjà au travail pour lancer des mises à jour afin de corriger la vulnérabilité.


Ce que cela veut dire pour les Québécoises et Québécois ?

Il faut mettre à jour son système et ses applications dès qu'il sera possible de le faire.


Ce conseil s’applique autant à vos postes de travail à la maison, qu’au bureau et vos appareils mobiles. Une des applications sur votre téléphone intelligent pourrait utiliser Log4j2 ou bien si vous consultez un site web qui contient la ligne de code malicieux sans avoir fait les mises à jour nécessaires, vous risquez d’ouvrir la porte de votre appareil aux acteurs malveillants.



Restez-prudent !



 


Sources

Arntz, P. (2021). Log4j zero-day “Log4Shell” arrives just in time to ruin your weekend [Blog]. Repéré à https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/12/log4j-zero-day-log4shell-arrives-just-in-time-to-ruin-your-weekend/

Lefebvre, L. (2021). “Log4Shell” – une vulnérabilité critique dans Log4j - ce qu’il faut savoir. [Blog]. Repéré à https://crypto.quebec/log4shell-une-vulnerabilite-critique-dans-log4j-ce-quil-faut-savoir/

McGraw, G., & Morrisett, G. (2000). Attacking Malicious Code: A Report to the Infosec Research Council. IEEE Software, 17(5), 33-41. doi: 10.1109/52.877857

Newman, L. (2021). The Internet Is on Fire. Wired. Repéré à https://www.wired.com/story/log4j-flaw-hacking-internet/

Radio-Canada. (2021). Québec forcé de fermer préventivement près de 4000 sites Internet gouvernementaux. Repéré à https://ici.radio-canada.ca/nouvelle/1846867/cyberattaques-sites-internet-gouvernementaux-institutions

Reynaud, F. (2021). Le business des « zero day », ces failles inconnues des fabricants de logiciel. Le Monde. Repéré à https://www.lemonde.fr/pixels/article/2015/09/23/le-business-des-zero-day-ces-failles-inconnues-des-fabricants-de-logiciel_4768638_4408996.html

112 vues