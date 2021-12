Les violations massives de données sont devenues si courantes que nous sommes devenus insensibles aux rapports détaillant un autre piratage ou un exploit de 0 jour. Cela ne réduit pas le risque que de tels événements se produisent, car le jeu du chat et de la souris entre les experts en sécurité et les pirates informatiques se poursuit. Au fur et à mesure que certaines vulnérabilités sont corrigées, d’autres apparaissent et nécessitent l’attention des fournisseurs de produits et de services. Le plus récent a un nom qui ne signifiera rien pour la plupart des gens. Ils appellent le hack Log4Shell dans les briefings de sécurité, ce qui ne semble pas très effrayant. Mais la nouvelle attaque 0-day est si importante que certaines personnes la considèrent comme le pire piratage Internet de l’histoire.

Des individus malveillants exploitent déjà l’attaque Log4Shell, qui leur permet d’accéder aux systèmes informatiques et aux serveurs sans mot de passe. Les experts en sécurité ont vu Log4Shell en action dans Minecraft, le jeu populaire appartenant à Microsoft. Quelques lignes de texte transmises dans un chat peuvent suffire pour pénétrer les défenses d’un ordinateur cible. La même facilité d’accès permettrait aux pirates de s’attaquer à n’importe quel ordinateur à l’aide de l’utilitaire de journalisation open source Log4J basé sur Java.

Pourquoi le hack Log4Shell est si dangereux

Les rapports sur Log4Shell indiquent que le piratage est une menace majeure pour de nombreuses sociétés Internet. En effet, les pirates informatiques pourraient en profiter pour exécuter du code à l’intérieur de leurs systèmes. Il est possible de corriger la vulnérabilité et les entreprises ont commencé à déployer des correctifs. Mais chaque entité Internet distincte devra gérer le problème sur ses propres serveurs et systèmes. Cela signifie que tout le monde ne déploiera pas de correctifs simultanément, risquant ainsi une exposition prolongée aux attaques.

« Internet est en feu en ce moment », a déclaré Adam Meyers à AP News. « Les gens se bousculent pour patcher et toutes sortes de gens se bousculent pour l’exploiter. »

Meyers est le vice-président senior du renseignement chez Crowdstrick, une société de cybersécurité qui surveille le piratage de Log4Shell. Il a révélé que les pirates ont « complètement armé » la vulnérabilité à peine 12 heures après que les chercheurs l’ont initialement divulguée.

Tout le monde est en danger

L’AP note que le piratage Log4Shell peut être la pire vulnérabilité depuis des années. En effet, cela a un impact sur un utilitaire « omniprésent dans les serveurs cloud et les logiciels d’entreprise utilisés dans l’industrie et le gouvernement ». Les pirates qui l’exploitent peuvent facilement pénétrer dans les systèmes internes, car ils n’ont pas besoin de pirater un mot de passe pour abuser de la faille.

À partir de là, ils peuvent exécuter du code à distance pour voler des données, implanter des logiciels malveillants et effectuer toutes sortes d’activités malveillantes. Les attaquants d’États-nations qui emploient des pirates hautement qualifiés ayant accès à des ressources massives pourraient rapidement transformer l’attaque en arme. Et tout le monde serait en danger.

« J’aurais du mal à penser à une entreprise qui ne court aucun risque », a déclaré à AP le responsable de la sécurité de Cloudflare, Joe Sullivan. Il a dit que des millions de serveurs pourraient avoir l’utilitaire installé. En conséquence, les retombées du piratage Log4Shell seront un mystère pendant plusieurs jours.

Minecraft se joue en réalité virtuelle sur PlayStation VR. Source de l’image : Mojang

L’attaque Minecraft

Des pirates informatiques ont exploité la faille de Minecraft, note le rapport. Meyers et l’expert en sécurité Marcus Hutchins ont déclaré que les utilisateurs de Minecraft avaient armé le piratage Log4Shell. Ils ont utilisé un court message dans une boîte de discussion à d’autres pour exécuter du code sur les ordinateurs cibles. Microsoft a publié une mise à jour logicielle pour Minecraft. Toute personne jouant au jeu doit le mettre à jour vers la dernière version.

Dans le cas de Minecraft, les attaquants ont pu obtenir l’exécution de code à distance sur les serveurs Minecraft en collant simplement un court message dans la boîte de discussion. – Marcus Hutchins (@MalwareTechBlog) 10 décembre 2021

Minecraft n’est qu’un endroit où les chercheurs ont observé le piratage Log4Shell en action. Mais ça n’a pas commencé là. Le géant chinois de la technologie Alibaba a signalé la vulnérabilité à l’open source Apache Software Foundation le 24 novembre. Un correctif n’était disponible que deux semaines plus tard. La fondation a évalué le hack Log4Shell comme un 10 sur une échelle de 0 à 10.

Plus de détails sur le correctif Log4Shell sont disponibles sur ce lien.

Le correctif pour le hack Log4Shell

Le correctif de piratage Log4Shell est arrivé jeudi, avec des rapports décrivant la vulnérabilité. L’équipe d’intervention d’urgence informatique de la Nouvelle-Zélande a ensuite signalé que des pirates avaient déjà exploité la faille dans la nature quelques heures seulement après l’annonce de jeudi.

Le piratage Log4Shell est « la vulnérabilité la plus importante et la plus critique de la dernière décennie », a averti AP Amit Yoran. Yoran est le PDG de la société de cybersécurité Tenable. Il a dit que les organisations doivent présumer qu’elles ont été compromises et agir en conséquence.

Les chercheurs disent que des entreprises comme Apple, Amazon, Twitter et Cloudflare pourraient exécuter des serveurs où les pirates pourraient abuser de la vulnérabilité. Cela ne signifie pas que des pirates informatiques ont attaqué ces entreprises. Le fait est que tout service Internet peut être sensible au piratage Log4Shell.

Ce que les internautes peuvent faire maintenant, c’est s’assurer que leur logiciel est à jour et attendre plus de détails des chercheurs en sécurité. On ne sait pas encore exactement comment le piratage pourrait avoir un impact direct sur les utilisateurs finaux des sociétés Internet.