Une faille 0-day permet d’exécuter du code à distance sans authentification et d’accéder aux serveurs touchés. C’est une aubaine pour des pirates.

Des chercheurs en informatique ont alerté publiquement dès le vendredi 10 décembre 2021 sur une faille gravissime qui touche Apache Log4j, une bibliothèque Java (un langage informatique) particulièrement répandue.

Cette vulnérabilité permet d’exécuter du code à distance sans authentification et d’accéder aux serveurs concernés. Il s’agit d’une faille rêvée pour des attaquants comme des opérateurs de ransomware, qui ont d’ailleurs déjà commencé à utiliser Log4shell. De quoi donner des sueurs froides aux éditeurs et utilisateurs de ces services comme Apple ou Steam, qui ont passé le week-end à faire les inventaires de leurs infrastructures pour en vérifier l’exposition.

Pourquoi la faille de Log4j est-elle grave ?

La faille est dite 0-day (entendre « zéro day »). Ces failles sont particulièrement redoutées en sécurité informatique, car elles concernent des vulnérabilités encore non recensées. Dénommée CVE-2021-44228, et estampillée des surnoms Log4Shell et LogJam, elle n’avait donc aucun correctif au moment de sa découverte. Et toutes les versions allant de la 2.0 à la 2.14.1 sont concernées. Pour le dire autrement, c’est une faille de grande ampleur dont on ne pouvait alors pas se protéger.

Les buts d’un pirate peuvent être multiples : voler des données, empêcher un site ou une application de fonctionner, paralyser des systèmes pour ensuite demander une rançon… la liste est longue. Mais pour y arriver, l’attaquant doit trouver une faille dans les systèmes informatiques qu’il vise, une porte d’entrée. Et l’opportunité donnée par Log4Shell d’exécuter du code à distance sans authentification et d’accéder à des serveurs ouvre des possibilités quasiment illimitées.

On peut comparer ça à un cambrioleur qui aurait le pouvoir d’ouvrir votre porte et d’agir librement chez vous, sans avoir besoin de clé. Sauf que les listes (celle-ci, ou celle-là) des instances vulnérables sont vertigineuses : Minecraft (sans surprise, le jeu est codé en Java), Apple, Steam, Github, Amazon, plusieurs services de Google ou encore des logiciels d’IBM.

La faille Log4Shell est-elle corrigée ?

Les membres de l’Apache Software Fondation ont développé un premier patch en catastrophe pour corriger la vulnérabilité, la version 2.15.0. Des contournements sont également possibles pour réduire les risques comme l’explique le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (Cert-fr) de l’agence nationale de la sécurité des systèmes d’information (Anssi).

Ce correctif est loin d’être une solutions miracle, car la liste des logiciels concernés est impressionnante, et il n’est pas forcément évident de savoir si des systèmes sont vulnérables. Une grande partie des logiciels est d’ailleurs toujours en train d’être analysée, car beaucoup de sous-services utilisent des bibliothèque Log4j.

Autant dire que de nombreux responsables de services informatiques n’ont pas beaucoup dormi ce weekend, entre audits précipités et correctifs express. Face aux risques d’attaques, certains comme les gouvernements canadiens et québecois ont même choisi des solutions beaucoup plus radicales et fermé préventivement pas loin de 4 000 sites.

Interrogé par le média canadien La Presse, le ministre québécois à la Transformation numérique gouvernementale Éric Caire résume la situation en ces mots : « Il faut scanner l’ensemble de nos systèmes, parce qu’on n’a pas un inventaire. C’est comme dire combien de pièces dans tous les immeubles du gouvernement du Québec utilisent des ampoules 60 watts. Je ne le sais pas. Donc on fait le tour des pièces et on fait le tour des ampoules pour savoir si c’est une 60 watts. C’est un travail de moine. »

Un problème d’inventaire qui est loin de ne toucher que ces gouvernements d’Amérique du Nord, et qui présage de nombreuses attaques dans les prochaines semaines.

Depuis la première publication de cet article, de nouvelles vulnérabilités ont été découvertes sur les versions patchées 2.15 puis 2.16 de Log4j, ainsi que pour toutes les versions 1.X qui étaient considérées comme épargnées. Le 20 décembre 2021 c’est la version 2.17 qui permettait de corriger les vulnérabilités connues.

Depuis quand la faille Log4Shell était-elle exploitée ?

D’après Matthew Prince, le PDG de l’entreprise de sécurité informatique Cloudflare, les premières exploitations observées de la faille remontent au 1er décembre 2021, soit 9 jours avant qu’elle soit rendue publique. Sans toutefois observer d’exploitation massive de la vulnérabilité.

Qui a été attaqué?

Difficile de répondre précisément sur l’ampleur des dégâts. Pour l’instant, Check Point Software déclare avoir constaté une tentative d’attaque sur 44 % des systèmes mondiaux. Le dirigeant de l’entreprise de sécurité informatique Cloudflare a même déclaré sur Twitter le 14 décembre recenser plus de 1000 tentatives d’attaque par secondes. Plusieurs observateurs ont également repérés que des pirates proposent déjà des malwares pour attaquer la vulnérabilité.

D’après l’entreprise de sécurité informatique Bitdefender, des cybercriminels ont déjà commencé à se servir de la faille pour viser des systèmes Linux, et plus marginalement des machines sous Windows. Et ce à l’aide du ransomware Khonsari qui chiffre les données en passant par la faille Log4shell. Les données deviennent illisibles, et les pirates exigent une rançon pour les rendre à leurs propriétaires.

Les centaines de millions de joueurs de Minecraft ont également du souci à se faire. Les équipes de cybersécurité de Microsoft ont rapporté des attaques ransomware contre des serveurs vulnérables de joueurs qui utilisent la version Java du jeu cubique, et plus marginalement des attaques qui passent par Minecraft pour infecter l’ensemble des systèmes de joueurs.

Mise à jour 17h40 : ajout des noms de services touchés
Mise à jour 18h30 : ajout de la dernière question
Mise à jour 20 décembre : actualisation de l’article avec les nouvelles failles et des précisions sur les attaques