Log4j : la faille informatique qui fait trembler le Net sur ses fondations

Les alertes se multiplient ces derniers jours au sujet d’une nouvelle faille découverte dans un tout petit sous-logiciel d’apparence innocente mais qui est utilisé par des centaines de millions, voire des milliards de sites Internet dans le monde.

C'est comme un tsunami qui déferle sur l’Internet pour les uns, ce serait la "pire faille de la décennie" voir de "l’histoire du Net" pour d’autres. Les experts en sécurité informatique rivalisent de superlatifs pour évoquer la découverte d’une vulnérabilité qui pourrait affecter des centaines de millions, voire plus d’un milliard, de sites Internet et de serveurs dans le monde.

Même la Cybersecurity and Infrastructure Security Agency (CISA, l’agence américaine de protection contre les menaces informatiques) en a fait une menace de rang 10, c’est-à-dire le niveau d’alerte maximal. "C’est l’une des failles les plus sérieuses, voire la plus sérieuse, à laquelle j’ai été confrontée depuis le début de ma carrière", a reconnu Jennifer Easterly, directrice de la CISA, lors d’un point-presse lundi 13 décembre. Des alertes ont été émises par presque toutes les agences nationales de sécurité informatique, y compris l’Anssi en France.

D'Apple à l'hélicoptère de la Nasa sur Mars

Le responsable de ce mouvement de panique mondiale s’appelle Log4j. Il s’agit d’un petit sous-logiciel dont la seule raison d’être est de "tenir un journal automatisé des visites vers un site", explique Philippe Rondel, chercheur en sécurité informatique pour Check Point, un éditeur international de solutions de cybersécurité, contacté par France 24. Une tâche plutôt anodine et, en effet, "c’est typiquement un petit bout de programme dont on n'aurait jamais cru qu’il allait présenter un risque", ajoute cet expert.

Sauf que fin novembre, un employé du géant chinois Alibaba alerte discrètement la fondation Apache (qui gère et distribue Log4j) des vulnérabilités qu’il a constatées au niveau de Log4j. Puis, vendredi 10 décembre, un chercheur en sécurité informatique rend publique une manière d’exploiter cette faille informatique baptisée Log4Shell : c'est le début de l'emballement.

Le monde du numérique commence alors à constater l’ampleur potentielle des dégâts. Le sous-logiciel est en effet présent dans des milliers de programmes utilisés pour faire fonctionner des millions de serveurs, et les développeurs de tous ces outils web ne savent parfois même pas si leurs logiciels font appel à lui.

Une course pour comprendre à quel point l’Internet est exposé à cette nouvelle faille commence alors. "On estime qu’il y a environ 30 % des sites Internet qui utilisent Log4j", résume Philippe Rondel.

Pour l’heure, il est établi que des géants comme la Nasa, Twitter, Oracle ou Apple utilisent des programmes où la vulnérabilité Log4j est présente. Ainsi, iCloud – le service de stockage en ligne d'Apple – pourrait être piraté grâce à cette faille. En théorie, Ingenuity, le petit hélicoptère que la Nasa a envoyé sur Mars, est également vulnérable puisque certains logiciels utilisés pour communiquer avec lui depuis la Terre reposent sur Log4j, souligne le quotidien allemand Süddeutsche Zeitung.

Tsunami de rançongiciels en perspective ?

Du côté des pirates informatiques et des cyberespions, c’est aussi la ruée vers la nouvelle faille. "Nous avons constaté 830 000 tentatives d’attaques visant des clients de Check Point en 72 heures", souligne Philippe Rondel. En outre, plus de 60 variants de la méthode originale pour exploiter Log4Shell sont déjà en circulation. Une manière pour les cybercriminels de tenter de garder une longueur d’avance.

Cette multiplication des attaques vient en partie du fait que les cybercriminels "anticipent une fenêtre de tir de courte durée", assure Philippe Rondel. Un correctif pour Log4j a été publié et, en théorie, il suffirait de l’appliquer partout où ce sous-logiciel est installé. Mais d’après l’expert de Check Point, cela va prendre du temps en pratique, car découvrir tous les programmes et serveurs qui l’utilisent est une tâche de longue haleine.

Les pirates informatiques ont aussi sauté sur l’occasion de cette faille parce qu’elle est très simple à exploiter et qu’elle peut faire d’énormes dégâts. La vulnérabilité signifie qu’un assaillant peut demander à Log4j d’exécuter n’importe quel type de tâche – y compris télécharger un virus – en lui faisant croire qu’il met tout simplement à jour son journal des visites.

C’est d’autant plus alléchant que cela permet aux cybercriminels "d’exécuter un code malveillant sur un programme sans avoir besoin d’une autorisation", résume Philippe Rondel. Un cybercriminel doit généralement disposer d’un identifiant et d’un mot de passe avant de pouvoir s’infiltrer sur un serveur pour y placer son virus. Ce n’est pas le cas avec Log4Shell.

Et les assaillants ont ensuite toute latitude pour tirer profit de cette faille. Ils peuvent installer un simple virus destructeur sur le serveur visé, opter plutôt pour un logiciel espion ou encore prendre le contrôle des ordinateurs du réseau.

Pour l’instant, les cybercriminels ont surtout utilisé Log4Shell pour installer des logiciels malveillants sur les ordinateurs ciblés afin de les transformer en machines à créer des bitcoins. "C’est l’une des utilisations les plus simples", reconnaît Philippe Rondel.

Mais il craint que cette première vague d’attaques ne soit qu’un "premier tremblement de terre avant le tsunami d’attaques plus importantes à venir". Le risque est que certains cybercriminels utilisent cette faille pour "mettre un premier pied dans la porte de réseau d’entreprise afin de déployer des rançongiciels qui seront activés dans les prochaines semaines", avertit l’expert français.

La découverte de la faille illustre aussi la fragilité de certains composants importants pour le bon fonctionnement d’Internet. Log4j est, en effet, un petit bout de programme distribué comme logiciel libre. Son bon fonctionnement est assuré par quelques bénévoles qui s’en occupent sur leur temps libre. Autrement dit, des multinationales comme Apple ou Twitter ont recours à des sous-logiciels gérés par une poignée d’individus à peine rémunérés par quelques généreux donateurs pour leur services ou appareils qui rapportent des milliards. Pour Filippo Valsorda, un expert en cryptographie de Google, la faille de Log4j devrait amener "à faire de la maintenance de ces programmes open source une vraie profession rémunérée car c’est une partie de l’économie qui en dépend".