Les craintes se concrétisent. De premières attaques ransomwares qui exploitent la faille Log4shell ont été observées par l’entreprise de sécurité informatique Bitdefender, et ce dès le week-end qui a suivi sa découverte le 10 décembre 2021. Cette vulnérabilité 0-day permet d’exécuter du code à distance sans authentification et d’accéder aux serveurs concernés.
Il s’agit d’une faille rêvée pour des opérateurs de ransomware vu la facilité d’entrée dans les systèmes vulnérables qu’elle fournit. La liste de logiciels concernés par la vulnérabilité est astronomique, et beaucoup de grands groupes étaient exposés : Amazon, Tesla, Apple, Steam, Minecraft ou même des services de Google.
Des attaques contre des systèmes Windows
Le rapport de Bitdefender explique que la plupart des attaques observées jusqu’à maintenant visaient des systèmes Linux. Mais ceux sous Windows ne sont pas épargnés : un ransomware appelé Khonsari chiffre les données de systèmes en passant par la faille Log4shell. Les données deviennent illisibles, et les pirates exigent une rançon pour les rendre à leurs propriétaires.
La situation ne risque pas de s’améliorer. Dans un autre rapport, Check Point Software constatait des tentatives d’attaques sur 44% des systèmes mondiaux. On voit également des malwares qui exploitent la faille apparaitre dans les cercles de pirates informatiques.
Le rapport de Bitdefender pointe aussi que certains groupes cybercriminels exploitent Log4shell pour d’autres attaques informatiques, comme des dénis de services (Ddos soit l’utilisation d’un réseau de machines pour saturer un site de demandes) ou des botnet (des logiciels malveillants qui assimilent des appareils pour créer un réseau de machines infectées) qui minent des cryptomonnaies. Le dirigeant de l’entreprise de sécurité informatique Cloudflare a même déclaré sur Twitter le 14 décembre observer plus de 1000 tentatives d’attaque par secondes.
Une vulnérabilité patchée, mais un problème qui demeure
Un premier puis un second patch ont été produits par les bénévoles de la fondation Apache, qui développe la bibliothèque Java Log4j (un ensemble de fonctionnalités qui permet notamment de développer des logiciels) à l’origine de la vulnérabilité. Ces derniers corrigent la faille, mais tout n’est pas réglé pour autant.
La bibliothèque Log4j est très répandue, parfois dans des sous-systèmes difficiles à recenser, c’est pourquoi entreprises et administrations consciencieuses ont passées ces derniers jours à faire l’inventaire de leurs systèmes à la recherche de la faille. Les géants de la tech ont très rapidement sorti des mises à jour pour protéger leurs utilisateurs, mais beaucoup de logiciels sont encore en cours d’analyse comme le montrent les listes tenues par des chercheurs.
Les principaux problèmes risquent surtout de concerner les petites structures, entreprises comme éditeurs. Pas forcément aussi bien fournies en capacité et en compétences, elles seront assurément les plus vulnérables sur le long terme.
Mise à jour 16h30 : ajout de la citation du dirigeant de Cloudflare
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !