C’est la déclaration alarmiste de la directrice du CISA, l’agence nationale de cybersécurité américaine (Cybersecurity and Infrastructure Security Agency) qui amorce publiquement et d’un ton sévère une information systémique à destination des organisations et des entreprises de l’Oncle Sam. En France, du côté de l’ANSSI, par timidité sans doute, on est beaucoup plus discret.
De quoi parle-t-on ?
La faille, rendue publique tout début décembre dernier dans tous les médias américains, affecte une bibliothèque logicielle open source de la fondation Apache. Elle est utilisée dans de très nombreuses applications et autres matériels connectés. On la retrouve presque partout, des logiciels de bureautique aux serveurs et aux systèmes embarqués. Cette bibliothèque sert à « journaliser » les événements informatiques. C’est un outil incontournable pour les administrateurs d'applications et les développeurs pour remédier à et/ou recenser divers types d’erreurs ou événements problématiques. C’est une référence mondiale très largement diffusée dans le monde du langage Java. La gravité de la faille tient au fait qu’un acteur malveillant ou un robot hacker peut demander – et obtenir – à distance la récupération de de code sans barrière de protection. On peut ainsi facilement extraire des données, les effacer, installer un ransomware en incluant la pollution de la sauvegarde par chiffrement.
Faut-il être effrayé ?
Clairement oui. Au Canada, en Australie, mais également en Russie, pour ne citer que quelques exemples, les ministères fédéraux régaliens ont désactivé leurs services jusqu’à plus ample information. Aux États-Unis, l’agence de cybersécurité, a procédé au briefing des plus importantes organisations et entreprises dans le cadre d’un marathon de réunions virtuelles au plus haut niveau.
La gravité du problème tient au fait de la diffusion mondiale de la bibliothèque Log4j tant pour le nombre de personnes, que d’organisateurs et d’applications utilisatrice (en milliards globalement).
Qui cela concerne-t-il ?
Pratiquement tout le monde. Soit localement, soit via les hébergements Cloud. Plus grave encore, la détection de la faille va entraîner la mise en place de mises à jour, qui exposera d’autant plus les organisations par rebond. À ce jour, on observe le déploiement de « cryptomineurs » (minage pour les cryptomonnaies) ainsi qu’une explosion des scans robotisés à l’affût de serveurs faibles et perméables. Préalable à des opérations bien plus agressives. L’administration anticipe des conséquences graves pour les semaines et mois à venir d’autant que le recensement des perméabilités prendra beaucoup de temps, tant le travail est herculéen.
Que dit le manitou de la sécurité, l’ANSSI ?
Étonnamment, on ne s’alarme pas trop. Pas de précaution régalienne importante. Cependant, Guillaume Poupard (École Polytechnique), directeur de l’ANSSI, avec une prudence politique mesurée de Sioux, déclare – en même temps – s’inquiéter de la facilité d’exploitation de la faille, et donc de l’importance de sa diffusion. Ajoutant qu’il ne serait pas étonnant qu’on s’aperçoive que la faille soit exploitée de façon dormante depuis longtemps et prête à l’emploi. Pas sûr qu’on demande à l’agence de sécurité d’établir un diagnostic – a posteriori qui plus est – mais plutôt une méthodologie de remédiation en situation de crise. Et plutôt en mode stratégique, managérial et organisationnel. La note d’alerte Log4j sur le site de l’ANSSI (voir ici)* a tout pour inquiéter sous cet angle. En tout état de cause, l’ANSSI a une montre, les attaquants ont le temps. Devinez qui va gagner ?
Visite médicale d’aptitude à la conduite : le permis à vie de nouveau sur la sellette
Le dispositif Mon soutien psy peine à convaincre, la Cnam relance l’offensive com’
Ouverture du procès d’un ancien psychiatre de l’AP-HM jugé pour viols et agressions sexuelles sur quatre patientes
Affaire Le Scouarnec : premier mea culpa de l’Ordre des médecins qui exprime ses « profonds regrets »