Également connue sous le nom de piratage Log4Shell, la vulnérabilité de sécurité Log4j 0-day est le pire piratage de l’histoire d’Internet. Toutes les sociétés Internet se sont efforcées de corriger le problème et d’empêcher les pirates d’en profiter. Mais il faudra du temps aux entreprises pour résoudre le problème. Les chercheurs en sécurité voient des milliers de tentatives de tirer parti du piratage Log4j pour pénétrer dans les systèmes informatiques. Et la pire chose à propos de ce piratage est que vous pourriez être touché même si les pirates ne vous ciblent pas explicitement. Et, pire encore, vous ne pouvez rien faire pour vous protéger.

Avec Pegasus, Apple a publié un correctif qui corrigeait l’attaque iPhone de 0 jour qui permettait aux États-nations d’espionner des cibles. Il vous suffisait d’installer la mise à jour iOS et iPadOS. Lorsque les vulnérabilités de la puce Spectre sont apparues il y a quelques années, il appartenait aux fabricants de puces de publier des correctifs, ainsi qu’aux entreprises qui y exécutaient des systèmes d’exploitation.

Mais avec le hack Log4j, il n’y a pas de correctif unique pour iPhone, Android, Windows ou Mac qui corrigera la vulnérabilité et atténuera vos inquiétudes.

Le piratage Log4j est un cauchemar de sécurité

Comme nous l’avons déjà vu, le piratage peut avoir un impact sur quelque chose d’aussi trivial que le jeu Minecraft de Microsoft. Les pirates ont envoyé quelques lignes de texte via un système de chat intégré à l’application pour prendre le contrôle des ordinateurs. Et Microsoft a corrigé la faille.

Mais toute entreprise qui propose des services Internet et des produits connectés à Internet est en danger. Chaque entreprise doit mettre à jour ses serveurs afin que les attaquants ne puissent pas utiliser le piratage Log4j.

Le problème de vulnérabilité permet aux pirates de contourner les restrictions et d’entrer dans un système informatique sans avoir besoin de mot de passe. À partir de là, ils peuvent exécuter du code à distance qui leur permettra d’espionner ces entreprises, de voler des informations et/ou de l’argent.

Les clients de ces entreprises pourraient être blessés, c’est toujours un risque avec de tels hacks. Mais les utilisateurs finaux ne peuvent pas corriger eux-mêmes le piratage Log4j.

Avec le hack Log4j, il ne s’agit pas de cliquer sur le mauvais lien et de télécharger le programme malveillant sur votre ordinateur. Tout est hors de vos mains. Aussi féru d’Internet que vous soyez, il n’y a aucun moyen d’empêcher un pirate informatique d’attaquer l’une des sociétés Internet dont vous êtes client.

Les attaquants font plus d’une centaine de tentatives chaque minute pour exploiter la vulnérabilité de l’utilitaire de journalisation Java, selon les chercheurs de Check Point observant le piratage Log4j. Sophos a détecté des centaines de milliers de tentatives dans les jours qui ont suivi la divulgation de Log4Shell.

Un schéma expliquant le hack Log4j. Source de l’image : Sophos

Ce que vous pouvez faire pour résoudre le problème

Microsoft a déjà observé des attaques impliquant l’installation de logiciels malveillants d’extraction de crypto-monnaie sur des serveurs. Séparément, certains pirates ont tenté d’installer Cobalt Strike sur des systèmes vulnérables, ce qui pourrait amener des pirates à voler des noms d’utilisateur et des mots de passe. La société a également détaillé les fonctionnalités de Microsoft 365 Defender qui peuvent protéger contre le piratage Log4j. Mais cela pourrait ne pas être suffisant pour la plupart des gens – après tout, cela ne couvre que Windows et Linux. Et ses équipes informatiques qui devraient utiliser des correctifs dans les serveurs et les systèmes informatiques.

Les utilisateurs finaux peuvent faire attention à leurs propriétés Internet. Vous devez continuer à utiliser des mots de passe forts et uniques pour vos services. Ajoutez une authentification à deux facteurs aux applications sensibles et aux e-mails qui régissent l’accès aux transactions financières en ligne. Gardez un œil sur les activités suspectes sur ces comptes sensibles, qu’il s’agisse d’applications de messagerie électronique ou de banque à domicile.

Vous pouvez également vérifier auprès du service informatique de votre organisation et vous assurer qu’il sait ce qu’est le piratage Log4j et qu’il doit être corrigé. De même, vous pouvez contacter d’autres entreprises technologiques pour voir ce qu’elles font pour vous protéger. D’un autre côté, demander aux représentants des clients des réponses qu’ils n’ont peut-être pas n’aidera pas.

Pendant que vous y êtes, mettez à jour tous les logiciels de vos appareils avec les dernières versions disponibles. Cela inclut les systèmes d’exploitation et les applications. Au fur et à mesure que ces entreprises déploient les correctifs Log4j, vous devez vous assurer de les obtenir le plus rapidement possible.

Les chercheurs en sécurité ont déclaré il y a quelques jours qu’il faudrait du temps pour voir les dommages que les attaques Log4Shell feraient. C’est toujours vrai. Et, en attendant, nous aurons probablement plus d’informations sur la façon de nous protéger contre le piratage Log4j.