Tech&Co
Tech

TOUT COMPRENDRE - Qu'est-ce Log4Shell, la faille qui touche Tesla, Minecraft ou encore Amazon?

TOUT COMPRENDRE - La faille Log4Shell

TOUT COMPRENDRE - La faille Log4Shell - BFM Business

Une faille de sécurité majeure touche actuellement de nombreux services web. Elle permet aux pirates d'exécuter, à distance, du code informatique à l'insu d'un utilisateur.

Des chercheurs en cybersécurité ont alerté sur l'existence d'une faille dans ce que l'on appelle le Log4j, un composant utilisé notamment au sein de Java, langage de programmation informatique très répandu.

Par un effet boule de neige, cette faiblesse logicielle ouvre une porte d'accès à de potentiels hackers vers des milliers de sites Web, applications ou services en ligne. Elle a été baptisée Log4Shell par les spécialistes l'ayant découverte.

• De quel type de faille s'agit-il?

Dans le langage informatique, on appelle ces failles des "0-day": cela signifie qu'elles sont inédites, et que personne n'y a encore apporté de solution concrète. Actuellement, les entreprises et développeurs travaillent de concert pour résoudre Log4Shell. Mais certains sites et services sont encore vulnérables.

Selon le site BleepingComputer, elle a été signalée dès le 24 novembre par des ingénieurs informatiques de la société chinoise Alibaba auprès de la fondation Apache.

Cette dernière a publié un correctif mettant à jour ce composant, mais ne peut l'appliquer d'elle-même à tous les services l'utilisant. Il s'agit donc d'une démarche individuelle, comme la mise à jour d'un smartphone par un particulier.

De même, le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, a expliqué la marche à suivre pour les entreprises ayant recours à ces services.

• Qui est concerné par cette faille?

Ce composant est utilisé dans de très nombreux programmes informatiques pour enregistrer l'historique de leur éxécution, par exemple pour conserver la trace de bugs à des fins d'améliorations.

"On le retrouve dans de nombreux logiciels, qu’ils soient accessibles par le Web, des logiciels de jeu (Minecraft est un des plus connus) ou tournant sur des systèmes isolés, y compris des objets connectés et les voitures de Tesla" explique le général Éric Freyssinet, commandant en second de la gendarmerie dans le cyberespace, auprès de BFMTV.

Pour l'heure, la liste exhaustive des logiciels concernés n'existe pas encore, mais une liste partielle a été publiée. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) y a également consacré une alerte sur son site. On y retrouve notamment les services d'Amazon, ou encore de Steam, le célèbre distributeur de jeux vidéo.

• Comment cette faille est-elle exploitée?

Pour réaliser son attaque, la personne qui veut exploiter la vulnérabilité doit se débrouiller pour que le code de cette attaque soit lu par la librairie Log4j, continue Eric Freyssinet. Pour ce faire, il peut rentrer les données dans un champ de formulaire ou bien dans les données techniques d’une connexion, en changeant le nom de son navigateur Web par exemple, ou de son client de courrier électronique."

Face à la version vulnérable de Log4j (faute de mise à jour), ce code pourrait entraîner l'exécution d'un logiciel malveillant sur l'appareil concerné. Le pirate pourrait alors prendre le contrôle, total ou partiel, de cet appareil.

• Quel impact sur les particuliers?

Selon Mathis Hammel, expert en cybersécurité, "le risque est relativement faible pour les utilisateurs lambda: les cibles prioritaires sont les serveurs web."

Cependant, comme pour toute cyberattaque se pose la question de la sécurité des données personnelles. "Si un site web se fait pirater, il est fort probable que les données des utilisateurs (par exemple des informations de paiement, mots de passe ou adresses) se retrouvent dans la nature", précise le spécialiste auprès de BFMTV.

Victoria Beurnez