Log4Shell : la faille de sécurité qui inquiète applications et services web

Sans un expert chinois de la société Alibaba, la faille de sécurité ne serait pas encore connue du grand public. « Le 24 novembre, un expert au sein de l’entreprise Alibaba, géant de la distribution en Chine, a signalé à l’Apache Software Foundation (la fondation qui distribue Log4j) une vulnérabilité logicielle dans plusieurs versions de son outil. Il a découvert qu’il était possible d’utiliser cette bibliothèque pour faire exécuter du code non autorisé sur un serveur utilisant Log4j » résume Le Monde. Le journal revient en détails sur cette faille de sécurité qui fait beaucoup parler depuis qu’elle a été annoncée au grand public vendredi 10 décembre.

L’article explique que les « bibliothèques » sont généralement utilisées pour développer un logiciel parce qu’elles permettent de mettre à contribution des portions de codes pour les utiliser : « Les bibliothèques permettent notamment de réaliser des actions sans avoir à écrire le code nécessaire, en s’appuyant sur des programmes déjà éprouvés et conçus par d’autres développeurs. Dans ce cas précis, Log4j est une bibliothèque du langage Java qui sert à enregistrer l’activité (les « logs ») d’une application. On peut, par exemple, l’utiliser pour s’assurer qu’un logiciel fonctionne correctement et, dans le cas contraire, noter dans un fichier des rapports d’erreur à chaque fois qu’une portion de code rencontre un problème. »

La faille est donc importante puisque « Log4Shell » peut permettre d’aller chercher un code sur un autre serveur et de le faire exécuter. La portée d’une telle faille dépend des protections de chaque application ou service mais cela peut permettre de prendre totalement le contrôle d’un serveur. De multiples attaques ont utilisé ce procédé, notamment pour subtiliser des crypto monnaies ou installer des logiciels qui attaquent des réseaux. De quoi semer un vent de panique pour les entreprises qui dépendent en grande partie des réseaux. C’est-à-dire la plupart.