L’apocalypse de l’internet dont personne ne se soucie !

Publié ce 30 Janvier 2022

Un événement historique d’une ampleur sans précédent qui va occuper les spécialistes pendant de nombreux mois : Cette information n’est pas sortie des grands médias ni du public en général.

« Log4j » n’est connu de personne en dehors des cercles de développeurs. Et beaucoup de ceux qui utilisent ce morceau de code informatique ne sont même pas au courant de sa vulnérabilité. Pour les PC, les smartphones, les consoles de jeux et les objets connectés à Internet en général, il s’agit de l’un des programmes les plus utilisés au monde, avec jusqu’à un milliard de téléchargements par an. En raison de sa gravité, la vulnérabilité de Log4j a reçu son propre nom.                         Elle s’appelle « Log4Shell ».

Il y a environ 25 ans, Ceki Gülcü, qui possède aujourd’hui sa propre société de conseil en logiciels, a rédigé son mémoire de maîtrise en cryptographie au laboratoire de recherche d’IBM, près de Zurich, en Suisse. Après ses études, il est resté employé dans une équipe d’IBM qui s’occupait de la sécurité des données.

Le logiciel qu’il a mis au point permet de consigner ce qui survient lorsque l’on utilise un logiciel et c’est ainsi qu’est née la version 1 de Log4j. Ceki Gülcü a expliqué la fonctionnalité de Log4j en prenant l’exemple de la boîte noire d’un avion, qui enregistre les conversations des pilotes, la vitesse, l’altitude et tous les aspects techniques qui sont programmés pour surveiller et contrôler le vol.

Le logiciel Log4j est open source, c’est-à-dire qu’il est mis gratuitement à la disposition du grand public. Ces logiciels ont la réputation d’être généralement sûrs, précisément en raison de leur transparence. On suppose que de nombreux yeux veillent à ce que les problèmes éventuels soient reconnus et résolus.

En 2000, le programme a été officiellement remis à la fondation open source Apache. Cette fondation à but non lucratif est composée de développeurs et de contributeurs bénévoles. En 2006, Ceki Gülcü a quitté le projet et a développé ses propres logiciels tels que SLF4J ou LogBack, qui sont bien connus et populaires aujourd’hui.

En 2012, la Fondation Apache a commencé une révision complète sous le nom de Log4j Version 2. Une fonction spéciale a été introduite : Log4j 2 analyse et interprète les programmes externes avant que leur contenu ne soit utilisé par la suite.

Et c’est exactement là que la vulnérabilité a été découverte il y a plus d’un mois : Un attaquant peut soumettre un fichier spécialement conçu que Log4j accepte faussement. Cela signifie que tout code provenant de sources externes peut être exécuté. Une autre option consiste à simplement geler l’ordinateur compromis, puis à demander une rançon.

La découverte de la vulnérabilité ressemble à un thriller. C’est Chen Zhaojun, membre de l’équipe Alibaba Cloud Security, qui a découvert la vulnérabilité. Il a informé la Fondation Apache et, avec elle, a rendu la vulnérabilité publique le 9 décembre 2021, donnant ainsi aux développeurs suffisamment de temps pour corriger le problème. Après une fuite sur une plateforme de blogs chinoise peu avant la publication, des discussions ont eu lieu sur les détails de la vulnérabilité. Les pirates n’ont pas attendu : les premières attaques ont été observées dès les premiers jours suivant la découverte.

Des dégâts maximaux

Des géants comme la NASA, Twitter, Oracle et Apple sont connus pour utiliser des programmes dans lesquels la vulnérabilité Log4j est présente. Par exemple, iCloud, le service de stockage en ligne d’Apple, aurait pu être piraté via cette vulnérabilité. En théorie, le petit hélicoptère que la NASA a envoyé sur Mars est également vulnérable, car certains des programmes utilisés pour communiquer avec lui depuis la Terre sont basés sur Log4j. 

Les petites et moyennes entreprises, les agences gouvernementales et même les particuliers disposant de serveurs privés à domicile sont également touchés, et il faudra un certain temps avant de connaître l’étendue de la faille.

Par ailleurs, il est clair que le ministère belge de la défense a été la première victime connue d’une attaque Log4Shell. Des mesures de précaution spectaculaires ont été prises, par exemple au Canada avec l’arrêt préventif des serveurs gouvernementaux ou en Allemagne avec le géant Bosch, qui fabrique également des objets connectés et qui a reconnu être touché, mais sans donner plus de détails.

En réalité, cette vulnérabilité peut avoir été découverte et exploitée par les hackers bien avant, sans que personne ne s’en aperçoive. Pour rappel, la version 2 a été publiée en 2012. Il n’est donc pas impossible que des criminels aient pu introduire clandestinement des programmes malveillants dans les systèmes informatiques. Pour certains acteurs, accéder à des informations confidentielles est plus attrayant que d’être payé pour cela. Il est à craindre que la première vague d’attaques ne soit qu’un premier séisme avant un tsunami d’attaques plus importantes.

À quoi devrait ressembler un avenir digital ?

Le fait est que ni la société ni les gouvernements ne sont aujourd’hui préparés à une numérisation accélérée.

Avant que les gouvernements ne continuent à faire pression pour le vote électronique et l’échange automatisé de données médicales, les sociétés devraient discuter du type d’avenir qu’elles souhaitent. Cela inclut un débat public sur les aspects juridiques, la sécurité et la protection des données, l’infrastructure, l’open source, la surveillance, la souveraineté sur nos données, la démocratie, la culture, les droits d’auteur. 

Et bien sûr, la censure doit également être incluse dans les discussions. Et la participation du public est nécessaire car la transition nous concerne tous – il est urgent d’assumer notre responsabilité numérique.

Cette « apocalypse informatique » pose la question de l’importance de notre monde numérique. Des plans d’urgence doivent être mis en place car les mesures techniques seules ne suffisent pas. Les pays et les entreprises doivent se préparer à continuer à travailler en cas de panne de réseau plus importante.                    En outre, une infrastructure de communication de crise doit être prévue.

Chaque personne est responsable de la sécurité de son propre système informatique et s’assure de connaître les bases de la confidentialité à domicile : Toutes les données sensibles doivent être conservées dans un endroit séparé de l’internet. 

Changez régulièrement les mots de passe, ainsi que celui d’un WLAN et installez un mot de passe sur tout disque dur.

 

Source & Traduction de FWM par Aube Digitale