Alors que les organisations se dmnent pour colmater les brches lies la faille du logiciel Log4j, un nouveau rapport estime que cette vulnrabilit est « endmique » et qu’elle posera des risques de scurit pendant potentiellement une dcennie ou plus. Le rapport, publi jeudi par un comit d’examen de la cyberscurit (The Cyber Safety Review Board – CSRB) cr par le prsident amricain Joe Biden, indique galement que la faille de Log4j est l’une des vulnrabilits logicielles les plus graves de l’histoire et que, mme s’il n’y a pas eu de signe de cyberattaque majeure due cet exploit, les entreprises auront du mal s’en dbarrasser.
Log4j est une bibliothque logicielle utilitaire open source programme en langage Java. Il enregistre les vnements – erreurs et oprations de routine d’un systme – et communique des messages de diagnostic leur sujet aux administrateurs et aux utilisateurs du systme. Le logiciel est fourni par l’Apache Software Foundation. Un exemple courant de Log4j au travail est lorsque vous tapez ou cliquez sur un mauvais lien Web et obtenez un message d’erreur 404. Le serveur qui gre le domaine de l’adresse Web que vous avez essay d’atteindre vous indique qu’il n’existe pas une page Web de ce type.
Il enregistre galement cet vnement dans un journal destin aux administrateurs systme du serveur l’aide de Log4j. Des messages de diagnostic similaires sont utiliss dans toutes les applications logicielles. Par exemple, dans le jeu en ligne Minecraft, Log4j est utilis par le serveur pour enregistrer des activits telles que la mmoire totale utilise et les commandes utilisateur tapes dans la console. Seulement, une faille dcouverte dans le logiciel fin 2021 permettrait aux attaquants de prendre facilement le contrle de tout, des systmes de contrle industriels aux serveurs Web et aux appareils lectroniques grand public.
Les premiers signes vidents de l’exploitation de la faille sont apparus dans Minecraft de Microsoft. La dcouverte de la faille a suscit des mises en garde urgentes de la part des responsables gouvernementaux et des efforts massifs de la part des professionnels de la cyberscurit pour corriger les systmes vulnrables. Le CSRB a dclar jeudi qu’ sa grande surprise, l’exploitation du bogue de Log4j s’tait produite des niveaux infrieurs ceux prvus par les experts. Log4j est l’une des failles logicielles les plus graves de l’histoire , a dclar le prsident du comit, Rob Silvers, sous-secrtaire du ministre de la Scurit intrieure (DHS).
Le comit a ajout qu’il n’avait pas connaissance d’attaques « importantes » lies la vulnrabilit de Log4j sur des systmes d’infrastructures critiques, mais a not que certaines cyberattaques ne sont pas signales. Le groupe a allgu que de futures attaques sont probables, en grande partie parce que Log4j est couramment intgr d’autres logiciels et qu’il peut tre difficile pour les organisations de dtecter son fonctionnement dans leurs systmes. Selon les analystes, la bibliothque Log4j est extrmement populaire auprs des dveloppeurs de logiciels commerciaux. Cet vnement n’est pas termin , prvient Silvers.
Pour mmoire, un chercheur en scurit d’Alibaba a inform la fondation le 24 novembre. Il a fallu deux semaines pour dvelopper et publier un correctif. Les mdias chinois ont rapport que le gouvernement avait puni Alibaba pour ne pas avoir signal la faille plus tt aux responsables de l’tat. Le comit a dclar jeudi qu’il avait trouv des « lments troublants » dans la politique du gouvernement chinois en matire de divulgation des vulnrabilits, affirmant que cela pouvait donner aux pirates informatiques de l’tat chinois un aperu prcoce des failles informatiques qu’ils pouvaient utiliser des fins nfastes.
La vulnrabilit de Log4j peut tre exploite distance pour permettre l’excution de code sur les systmes vulnrables et a reu un score de gravit CVSS maximal de 10 sur 10. Selon le CSRB, ces groupes affilis l’tat chinois pourraient exploiter ce type de failles pour voler des secrets commerciaux ou espionner les dissidents. Le gouvernement chinois a longtemps ni tout acte rprhensible dans le cyberespace et a dclar qu’il encourageait un meilleur partage des informations sur les vulnrabilits des logiciels. Le CSRB est compos de 15 responsables de la cyberscurit issus du secteur priv et du gouvernement.
Le groupe d’experts a t charg d’examiner les vnements majeurs en matire de cyberscurit et de formuler des recommandations pour amliorer la cyberscurit des secteurs public et priv. Le rapport sur la vulnrabilit de Log4J est le premier publi par le CSRB depuis sa cration par le prsident Biden en fvrier 2022. Pour l’examen de la vulnrabilit de Log4j, le CSRB s’est entretenu avec prs de 80 organisations pour comprendre comment la vulnrabilit a t ou est encore attnue, afin d’laborer des recommandations concrtes pour prvenir et rpondre efficacement de futurs incidents de ce type.
Le rapport du CSRB est divis en trois sections, fournissant des informations factuelles sur la vulnrabilit et ce qui s’est pass, les rsultats et les conclusions bass sur une analyse des faits, et une liste de recommandations. Les 19 recommandations exploitables sont rparties en quatre catgories : traiter les risques continus lis aux vulnrabilits du logiciel Log4j ; conduire les meilleures pratiques existantes en matire d’hygine de scurit ; construire un meilleur cosystme logiciel ; et les investissements dans l’avenir. Le groupe recommande galement d’investir plus dans la formation d’expert en cyberscurit.
L’une des recommandations les plus importantes est de crer et de maintenir un inventaire prcis des actifs informatiques, car les vulnrabilits ne peuvent tre traites si l’on ne sait pas o elles existent. Il est essentiel de disposer d’une nomenclature complte des logiciels (SBOM) qui inclut tous les composants logiciels tiers et les dpendances utiliss dans les solutions logicielles. L’un des plus gros problmes pour traiter les vulnrabilits de Log4j est de comprendre quels produits ont t affects. Le rapport recommande galement aux entreprises de dvelopper un programme de rponse aux vulnrabilits.
En outre, le CSRB conseille aux entreprises de mettre en place un processus de divulgation et de traitement des vulnrabilits, et suggre au gouvernement amricain d’tudier la viabilit d’un centre d’excellence pour l’valuation des risques de scurit des logiciels. Jamais auparavant les responsables informatiques de l’industrie et du gouvernement ne s’taient runis de cette manire pour examiner des incidents graves, identifier ce qui s’est pass et conseiller l’ensemble de la communaut sur la faon dont nous pouvons faire mieux l’avenir , a dclar Silvers la semaine dernire.
Notre examen de Log4j a donn lieu des recommandations qui, nous en sommes convaincus, peuvent conduire des changements et amliorer la cyberscurit , a-t-il ajout. Le dcret de Biden demande galement au comit de procder un examen de la campagne massive de cyberespionnage prtendument russe connue sous le nom de SolarWinds. Les pirates informatiques russes auraient russi pntrer dans plusieurs agences fdrales, y compris dans des comptes appartenant de hauts responsables de la cyberscurit du DHS, bien que les retombes de cette campagne ne soient pas encore claires.
Source : Rapport du Cyber Safety Review Board (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des conclusions du rapport du CSRB ?
Voir aussi