Log4Shell permet un accès facile aux réseaux internes, ce qui les rend sensibles au butin et à la perte de données et aux attaques de logiciels malveillants
Une vulnérabilité critique dans un outil logiciel largement utilisé – une vulnérabilité rapidement exploitée dans le jeu en ligne Minecraft – apparaît rapidement comme une menace majeure pour les organisations du monde entier.

”Internet est en feu en ce moment », a déclaré Adam Meyers, vice-président principal du renseignement de la société de cybersécurité Crowdstrike. ”Les gens se démènent pour réparer“, a-t-il déclaré, « et toutes sortes de gens se démènent pour l’exploiter. »Il a déclaré vendredi matin que dans les 12 heures qui ont suivi la divulgation de l’existence du bogue, il avait été “entièrement armé”, ce qui signifie que des malfaiteurs avaient développé et distribué des outils pour l’exploiter.

Une faille énorme

La faille, baptisée « Log4shell », pourrait être la pire vulnérabilité informatique découverte depuis des années. Il a été découvert dans un outil de journalisation open source omniprésent dans les serveurs cloud et les logiciels d’entreprise utilisés dans l’industrie et le gouvernement. À moins qu’il ne soit corrigé, il offre aux criminels, aux espions et aux novices de la programmation un accès facile aux réseaux internes où ils peuvent piller des données précieuses, planter des logiciels malveillants, effacer des informations cruciales et bien plus encore.

”J’aurais du mal à penser à une entreprise qui n’est pas à risque », a déclaré Joe Sullivan, directeur de la sécurité de Cloudflare, dont l’infrastructure en ligne protège les sites Web contre les acteurs malveillants. Des millions incalculables de serveurs l’ont installé et les experts ont déclaré que les retombées ne seraient pas connues avant plusieurs jours.

Amit Yoran, PDG de la société de cybersécurité Tenable, l’a qualifiée de ”vulnérabilité la plus importante et la plus critique de la dernière décennie » – et peut-être la plus importante de l’histoire de l’informatique moderne.

La vulnérabilité a été évaluée à 10 sur une échelle de un à 10 par l’Apache Software Foundation, qui supervise le développement du logiciel. Toute personne avec l’exploit peut obtenir un accès complet à un ordinateur non corrigé qui utilise le logiciel.

Les experts ont déclaré que l’extrême facilité avec laquelle la vulnérabilité permet à un attaquant d’accéder à un serveur Web – sans mot de passe requis – est ce qui la rend si dangereuse.

L’équipe d’intervention d’urgence informatique de la Nouvelle-Zélande a été l’une des premières à signaler que la faille était “activement exploitée dans la nature” quelques heures seulement après qu’elle ait été rapportée publiquement jeudi et qu’un correctif ait été publié.

Une vulnérabilité d’Apache

La vulnérabilité, située dans le logiciel Apache open source utilisé pour exécuter des sites Web et d’autres services Web, a été signalée à la fondation le 24 novembre par le géant technologique chinois Alibaba, a-t-il précisé. Il a fallu deux semaines pour développer et publier un correctif.

Mais patcher des systèmes dans le monde entier pourrait être une tâche compliquée. Alors que la plupart des organisations et des fournisseurs de cloud tels qu’Amazon Web Services devraient pouvoir mettre à jour facilement leurs serveurs Web, le même logiciel Apache est également souvent intégré à des programmes tiers, qui ne peuvent être mis à jour que par leurs propriétaires.

Yoran a déclaré que les organisations devaient présumer qu’elles avaient été compromises et agir rapidement.

Les premiers signes évidents de l’exploitation de la faille sont apparus dans Minecraft, un jeu en ligne extrêmement populaire auprès des enfants et appartenant à Microsoft. Meyers et l’expert en sécurité Marcus Hutchins ont déclaré que les utilisateurs de Minecraft l’utilisaient déjà pour exécuter des programmes sur les ordinateurs d’autres utilisateurs en collant un court message dans une boîte de discussion.

Microsoft a déclaré avoir publié une mise à jour logicielle pour les utilisateurs de Minecraft. « Les clients qui appliquent le correctif sont protégés », a-t-il déclaré.

Les chercheurs ont rapporté avoir trouvé des preuves que la vulnérabilité pourrait être exploitée dans des serveurs gérés par des entreprises telles qu’Apple, Amazon, Twitter et Cloudflare.

Sullivan de Cloudflare a déclaré qu’il n’y avait aucune indication que les serveurs de son entreprise avaient été compromis. Apple, Amazon et Twitter n’ont pas immédiatement répondu aux demandes de commentaires.