A un grand nombre de cyberattaques exploitent une faille dangereuse appelée log4shell dans le logiciel log4j. Un haut responsable américain de la cybersécurité a été cité dans Cyberscoop disant qu'il s'agissait de l'une des attaques les plus graves de sa carrière, “sinon la plus grave”. Voici ce qui le rend si mauvais et comment cela vous affecte.
Qu'est-ce que Log4j ?
Le bogue log4j (également appelé vulnérabilité log4shell et connu sous le numéro CVE-2021-44228) est une faiblesse de certains des logiciels de serveur Web les plus utilisés, Apache. Le bogue se trouve dans la bibliothèque open source log4j, une collection de commandes prédéfinies que les programmeurs utilisent pour accélérer leur travail et les empêcher d'avoir à répéter du code compliqué.
Les bibliothèques sont le fondement de nombreux programmes, sinon de la plupart, car elles permettent de gagner beaucoup de temps. Au lieu d'avoir à écrire un bloc entier de code maintes et maintes fois pour certaines tâches, vous écrivez simplement quelques commandes qui indiquent au programme qu'il doit récupérer quelque chose dans une bibliothèque. Considérez-les comme des raccourcis que vous pouvez mettre dans votre code.
Cependant, si quelque chose ne va pas, comme dans la bibliothèque log4j, cela signifie que tous les programmes qui utilisent cette bibliothèque sont affectés. Ce serait grave en soi, mais Apache fonctionne sur de nombreux serveurs, et nous voulons dire beaucoup. W3Techs estime que 31,5% des sites Web utilisent Apache et BuiltWith prétend connaître plus de 52 millions de sites qui l'utilisent.
Comment fonctionne la faille Log4j
Ce sont potentiellement beaucoup de serveurs qui ont cette faille, mais c'est pire : comment le log4j Le bogue fonctionne est que vous pouvez remplacer une seule chaîne de texte (une ligne de code), ce qui lui permet de charger des données à partir d'un autre ordinateur sur Internet.
Publicité
Un pirate informatique à mi-chemin peut fournir à la bibliothèque log4j une ligne de code qui indique à un serveur de récupérer les données d'un autre serveur appartenant au pirate informatique. Ces données peuvent être n'importe quoi, à partir d'un script qui rassemble des données sur les appareils connectés au serveur comme les empreintes digitales du navigateur, mais pire encore, ou même prendre le contrôle du serveur en question.
Le seul la limite est l'inventivité du hacker, la compétence y entre à peine tant c'est si facile. Jusqu'à présent, selon Microsoft, les pirates’ les activités ont inclus l'extraction de crypto, le vol de données et le piratage de serveurs.
RELATEDPourquoi y a-t-il autant de failles de sécurité Zero-Day ?
Cette faille est un jour zéro, ce qui signifie qu'elle a été découverte et exploitée avant qu'un correctif pour la corriger ne soit disponible.
Nous vous recommandons de prendre en compte log4j sur le blog Malwarebytes si vous ; vous êtes intéressé à lire quelques détails techniques supplémentaires.
Impact sur la sécurité de Log4j’s
L'impact de cette faille est massif: un tiers des serveurs dans le monde sont potentiellement concernés, dont ceux de grandes entreprises comme Microsoft ainsi que iCloud d'Apple et ses 850 millions d'utilisateurs. Les serveurs de la plate-forme de jeu Steam sont également concernés. Même Amazon a des serveurs fonctionnant sur Apache.
Ce n'est pas seulement le résultat net de l'entreprise qui pourrait être affecté : il y a beaucoup de petites entreprises qui exécutent Apache sur leurs serveurs. Les dommages qu'un pirate informatique pourrait causer à un système sont déjà assez graves pour une entreprise de plusieurs milliards de dollars, mais un petit pourrait être complètement anéanti.
Publicité
De plus, parce que la faille a été si largement médiatisée dans le but d'amener tout le monde à la corriger, elle est devenue une sorte de frénésie alimentaire. Outre les mineurs de cryptographie habituels qui tentent d'asservir de nouveaux réseaux pour accélérer leurs opérations, des pirates informatiques russes et chinois se joignent également à la fête, selon plusieurs experts cités dans le Financial Times (nos excuses pour le paywall) .
Tout ce que tout le monde peut faire maintenant est de créer des correctifs qui corrigent la faille et de les implémenter. Cependant, les experts disent déjà qu'il faudra des années pour corriger complètement tous les systèmes concernés. Non seulement les professionnels de la cybersécurité doivent découvrir quels systèmes ont souffert de la faille, mais des vérifications doivent être effectuées pour voir si le système a été violé et, le cas échéant, ce que les pirates ont fait.
Même après la mise à jour, il est possible que les pirates informatiques continuent de faire leur travail, ce qui signifie que les serveurs devront être purgés et réinstallés. Ce sera un travail énorme et non réalisable en un jour.
Comment Log4j vous affecte-t-il ?
Tout ce qui précède peut ressembler à ce qui ne peut être décrit que comme une cyber-apocalypse, mais jusqu'à présent, nous n'avons parlé que d'entreprises, pas d'individus. C'est ce sur quoi la plupart des reportages se sont concentrés. Cependant, il y a aussi un risque pour les gens ordinaires, même s'ils n'utilisent pas de serveur.
Comme nous l'avons mentionné, les pirates ont volé des données sur certains serveurs. Si l'entreprise en question sécurise correctement les données, cela ne devrait pas poser trop de problème, car les attaquants auraient toujours besoin de déchiffrer les fichiers, ce qui n'est pas une tâche facile. Cependant, si les données des personnes n'ont pas été enregistrées correctement, elles ont fait une journée de pirates informatiques.
Les données en question peuvent être n'importe quoi, vraiment, comme des noms d'utilisateur, des mots de passe ou même votre adresse. et l'activité Internet—les informations de carte de crédit sont généralement cryptées, heureusement. Bien qu'il soit trop tôt pour dire maintenant à quel point ce sera grave, il semble que très peu de gens seront en mesure d'éviter les retombées de log4j.
LIRE LA SUITE
- < li>› 7 extensions Safari pour iPhone et iPad à installer
- › Les meilleurs films de Noël sur Netflix en 2021
- › Commander Keen 4: Le premier et le seul jeu vidéo que j'ai adoré
- › Comment voir à quelles informations privées vos applications iPhone accèdent
- › Comment lire un disque Zip sur un PC ou un Mac moderne
- › Que signifie “LFG” La moyenne et comment l'utilisez-vous ?