Une faille logicielle « entièrement militarisée » qui permet facilement aux criminels de voler des données personnelles, d’installer des logiciels malveillants ou de détourner les détails de la carte de crédit est la plus grande menace de l’histoire de l’informatique moderne, ont averti les experts.
Le problème “Log4Shell”, découvert pour la première fois par les utilisateurs du jeu en ligne très populaire Minecraft, permet à un autre utilisateur de prendre le contrôle d’un appareil et d’exécuter des programmes sans le consentement du propriétaire.
Les services en ligne utilisés par des millions de personnes, notamment Netflix, Amazon, Uber et LinkedIn, et les services basés sur le cloud tels que Apple iCloud, Android OS, Google Documents et bien d’autres sont tous menacés par le bogue logiciel.
La faille découverte dans le langage de programmation Java, qui oblige les experts techniques à chercher une solution rapide, pourrait être la pire vulnérabilité informatique découverte depuis des années.
« Internet est en feu en ce moment », a déclaré Adam Meyers, vice-président senior du renseignement de la société de cybersécurité Crowdstrike.
“Les gens se démènent pour patcher”, a-t-il déclaré, “et toutes sortes de personnes se démènent pour l’exploiter.”
Il a déclaré vendredi matin qu’au cours des 12 heures qui se sont écoulées depuis que l’existence du bogue a été révélée, il avait été “entièrement militarisé”, ce qui signifie que des malfaiteurs avaient développé et distribué des outils pour l’exploiter.
Java reste l’un des langages de programmation les plus populaires au monde et est utilisé pour créer des fonctions au sein d’une application ou d’un système.
Il est toujours utilisé à ce jour, que ce soit pour les services backend aux interfaces de développement utilisateur, dans certaines des applications ou services en ligne les plus populaires au monde, notamment Netflix, Amazon, Google et Android OS, Spotify, LinkedIn et Uber.
Avec le bogue ‘Log4Shell’, les pirates peuvent prendre le contrôle total d’un serveur externe, sans authentification, avec une relative facilité.
« J’aurais du mal à penser à une entreprise qui ne court aucun risque », a déclaré Joe Sullivan, directeur de la sécurité de Cloudflare, dont l’infrastructure en ligne protège les sites Web contre les acteurs malveillants.
« Log4Shell » a été découvert dans un utilitaire omniprésent dans les serveurs cloud et les logiciels d’entreprise utilisés dans l’industrie et le gouvernement.
Jusqu’à ce qu’il soit résolu, les criminels, les espions et les novices en programmation bénéficient d’un accès facile aux réseaux internes où ils peuvent voler des données précieuses, implanter des logiciels malveillants, effacer des informations cruciales et bien plus encore.
Des millions de serveurs l’ont installé, et les experts ont déclaré que les retombées ne seraient pas connues avant plusieurs jours. Amazon, Twitter et iCloud d’Apple sont considérés comme « vulnérables » à l’exploit.
![À moins qu'un correctif ne soit trouvé, les criminels, les espions et les novices en programmation pourraient accéder facilement aux réseaux internes où ils peuvent piller des données précieuses, implanter des logiciels malveillants, effacer des informations cruciales et bien plus encore. [File photograph]](https://i.dailymail.co.uk/1s/2021/12/11/10/51626233-10297693-image-a-25_1639218551715.jpg)
À moins qu’un correctif ne soit trouvé, les criminels, les espions et les novices en programmation pourraient accéder facilement aux réseaux internes où ils peuvent piller des données précieuses, implanter des logiciels malveillants, effacer des informations cruciales et bien plus encore. [File photograph]
Les pirates informatiques seraient également capables d’utiliser des codes QR, dont l’utilisation a été largement popularisée tout au long de la pandémie à des fins de test et de traçage du NHS, pour exécuter du code malveillant sur les serveurs.
La peur a incité des experts chevronnés du renseignement à réagir, dont Robert Joyce, directeur de la cybersécurité à la National Security Agency en Amérique.
Il a expliqué: “La vulnérabilité Log4j est une menace importante pour l’exploitation en raison de son inclusion généralisée dans les cadres logiciels, y compris le GHIDRA de la NSA (un outil d’ingénierie inverse open source gratuit)”.
Amit Yoran, PDG de la société de cybersécurité Tenable, l’a qualifié de “la vulnérabilité la plus importante et la plus critique de la dernière décennie” – et peut-être la plus grande de l’histoire de l’informatique moderne.
La vulnérabilité, surnommée “Log4Shell”, a été classée 10 sur une échelle de 1 à 10 par l’Apache Software Foundation, qui supervise le développement du logiciel. Toute personne ayant l’exploit peut obtenir un accès complet à un ordinateur non corrigé qui utilise le logiciel.
Les experts ont déclaré que l’extrême facilité avec laquelle la vulnérabilité permet à un attaquant d’accéder à un serveur Web – aucun mot de passe requis – est ce qui la rend si dangereuse.
Marcus Hutchins, un chercheur en sécurité Internet, a averti que Log4Shell pourrait rendre des millions d’applications vulnérables au piratage, car son logiciel est souvent utilisé par les développeurs.
L’équipe d’intervention d’urgence informatique de la Nouvelle-Zélande a été parmi les premières à signaler que la faille était ” activement exploitée dans la nature ” quelques heures seulement après sa publication jeudi et la publication d’un correctif.
La vulnérabilité, localisée dans le logiciel Apache open source utilisé pour exécuter des sites Web et d’autres services Web, a été signalée à la fondation le 24 novembre par le géant chinois de la technologie Alibaba, a-t-il indiqué. Il a fallu deux semaines pour développer et publier un correctif.
Mais corriger les systèmes dans le monde entier pourrait être une tâche compliquée.
Alors que la plupart des organisations et des fournisseurs de cloud tels qu’Amazon devraient pouvoir mettre à jour leurs serveurs Web facilement, le même logiciel Apache est également souvent intégré à des programmes tiers, qui ne peuvent souvent être mis à jour que par leurs propriétaires.
Les experts en cybersécurité affirment que les utilisateurs du jeu en ligne Minecraft l’ont déjà exploité pour violer les appareils d’autres utilisateurs en collant un court message dans une boîte de discussion
Yoran, de Tenable, a déclaré que les organisations doivent présumer qu’elles ont été compromises et agir rapidement.
Les premiers signes évidents de l’exploitation de la faille sont apparus dans Minecraft, un jeu en ligne très populaire auprès des enfants et appartenant à Microsoft.
Meyers et l’expert en sécurité Marcus Hutchins ont déclaré que les utilisateurs de Minecraft l’utilisaient déjà pour exécuter des programmes sur les ordinateurs d’autres utilisateurs en collant un court message dans une boîte de discussion.
Microsoft a déclaré avoir publié un correctif logiciel urgent pour les utilisateurs de Minecraft. “Les clients qui appliquent le correctif sont protégés”, a-t-il déclaré.
Les chercheurs ont rapporté avoir trouvé des preuves que la vulnérabilité pourrait être exploitée sur des serveurs gérés par des sociétés telles qu’Apple, Amazon, Twitter et Cloudflare.
Sullivan de Cloudflare a déclaré que rien n’indiquait que les serveurs de son entreprise avaient été compromis. Apple, Amazon et Twitter n’ont pas immédiatement répondu aux demandes de commentaires.
.
