Log4j : petit logiciel, grande conséquence

L'histoire de cette faille de sécurité amène une réflexion sur la maintenance des outils libres et open source.

Voici un petit module logiciel qui a fait couler beaucoup d'encre ces derniers jours. Log4j, petite bibliothèque Java permettant de générer des logs (journal de visite d'un site) est la source d'une vulnérabilité "0 day" baptisée Log4Shell (CVE-2021-44228). Rendue publique ce 10 décembre, cette faille de sécurité très simple à exploiter (un assaillant peut demander à Log4j d’exécuter n’importe quel type de tâche -comme uploader des logiciels malveillants- en lui faisant croire qu’il met tout simplement à jour son journal des visites) a sonné l'alarme dans toutes les agences de sécurité informatique, dont l'Anssi en France.

Les géants du web ne sont pas épargnés

La raison de cet emballement ? Log4j est utilisé par des centaines de millions de sites internet et de serveurs dans le monde. Autant dire que les dégâts peuvent être démentiels si des pirates informatiques parviennent à exécuter un code malveillant sur une telle quantité de sites. D'autant plus que les géants du web semble eux aussi concernés : iCloud, Steam, Twitter, Amazon, Tesla ou encore Microsoft sont des usagers de cette bibliothèque Java. Si les premières utilisations de la faille semblent anodines, le pire serait à venir car les pirates pourraient "mettre un premier pied dans la porte de réseau d’entreprise afin de déployer des rançongiciels qui seront activés dans les prochaines semaines" avertit lors d'une interview à France 24 Philippe Rondel, chercheur en sécurité informatique pour Check Point, un éditeur international de solutions de cybersécurité.

Les premières utilisations de la faille ont surtout permises de miner du Bitcoin

"Les pirates pourraient mettre un premier pied dans la porte de réseau d’entreprise afin de déployer des rançongiciels qui seront activés dans les prochaines semaines"

Philippe Rondel, expert en sécurité informatique.

L'ampleur de la faille est donc inédite. À tel point que l'agence de sureté informatique américaine l'a classé au niveau maximal d'urgence. Inquiétante au vu de la facilité avec laquelle elle peut être exploitée, cette vulnérabilité soulève aussi de nombreuses questions quant à la maintenance de certains composants essentiels au bon fonctionnement d'internet. Log4j est en effet distribué par la Fondation Apache comme un logiciel libre. Autrement dit, ce sont des bénévoles qui assurent le bon fonctionnement de ce petit logiciel et ce, sur leur temps libre. Que des multinationales aient recours à des solutions libres est une bonne chose, que les individus qui gèrent la maintenance de ces solutions ne retirent aucun bénéfice des produits de ces multinationales l'est beaucoup moins. Les services et produits Apple, Twitter ou Amazon rapportent des milliards mais aucun de ces deniers ne vient rémunérer les personnes en charge de ces logiciels open source. Log4j est pourtant la preuve que ces solutions logicielles sont des fondations essentielles du web. À quand donc une réflexion sur l'implication des géants du web dans la maintenance des solutions libres et open source ?

Infos complémentaires

Si vous êtes détenteur d'un site ou serveur, vous pouvez utiliser ce petit outil en ligne de commande permettant de scanner une URL pour identifier si le site en question est sujet à la vulnérabilité : https://github.com/fullhunt/log4j-scan

Si vous souhaitez comprendre le fonctionnement de cette faille de sécurité, c'est par ici : https://ilearned.eu/log4j.html