Les snateurs amricains Gary Peters et Rob Portman, prsident et membre principal de la commission de la scurit intrieure et des affaires gouvernementales, ont prsent une lgislation bipartisane visant protger les systmes fdraux et les infrastructures critiques en renforant la scurit des logiciels libres. La lgislation fait suite une audition organise par Peters et Portman sur l’incident Log4j au dbut de l’anne, et demanderait la Cybersecurity and Infrastructure Security Agency (CISA) de veiller ce que les logiciels libres soient utiliss en toute scurit par le gouvernement fdral, les infrastructures critiques et autres.
Une vulnrabilit dcouverte dans Log4j – qui est un code source ouvert largement utilis – a affect des millions d’ordinateurs dans le monde, y compris des infrastructures critiques et des systmes fdraux. Cela a conduit les plus grands experts en cyberscurit parler de l’une des vulnrabilits les plus graves et les plus rpandues jamais vues en matire de cyberscurit.
Le 9 dcembre, une vulnrabilit a t dcouverte dans la bibliothque de journalisation Apache log4j. Cette bibliothque est trs souvent utilise dans les projets de dveloppement d’application Java/J2EE ainsi que par les diteurs de solutions logicielles sur tagre bases sur Java/J2EE. La vulnrabilit dans Log4J permet un cybercriminel de provoquer une excution de code arbitraire distance s’il a la capacit de soumettre une donne une application qui utilise la bibliothque log4j pour journaliser l’vnement. Cette attaque peut tre ralise sans tre authentifi, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification.
L’quipe open source de Google a dclar avoir analys Maven Central, le plus grand rfrentiel de packages Java, et a dcouvert que 35 863 packages Java utilisent des versions vulnrables de la bibliothque Apache Log4j. Cela inclut les packages Java qui utilisent des versions Log4j vulnrables l’exploit Log4Shell d’origine (CVE-2021-44228) et un deuxime bogue d’excution de code distance dcouvert dans le correctif Log4Shell (CVE-2021-45046).
James Wetter et Nicky Ringland, membres de l’quipe Google Open Source Insights, ont dclar dans un rapport que, bien souvent, lorsqu’une faille de scurit Java majeure est dtecte, elle n’affecte gnralement que 2% de l’index Maven Central. Cependant, les 35 000 packages Java vulnrables Log4Shell reprsentent environ 8 % du total de Maven Central d’environ 440 000, un pourcentage que les deux ont dcrit en utilisant un seul mot : norme .
Log4j inclut un mcanisme de recherche qui pourrait tre utilis pour effectuer des requtes via une syntaxe spciale dans une chane de format. Par exemple, il peut tre utilis pour demander divers paramtres comme la version de l’environnement Java via ${java:version}, etc. Ensuite, en spcifiant la cl jndi dans la chane, le mcanisme de recherche utilise l’API JNDI. Par dfaut, toutes les requtes sont effectues en utilisant le prfixe java:comp/env/*; cependant, les auteurs ont implment l’option d’utiliser un prfixe personnalis au moyen d’un symbole deux-points dans la cl. C’est l que rside la vulnrabilit : si jndi:ldap:// est utilis comme cl, la requte va au serveur LDAP spcifi. D’autres protocoles de communication, tels que LDAPS, DNS et RMI, peuvent galement tre utiliss.
Ainsi, un serveur distant contrl par un attaquant pourrait renvoyer un objet un serveur vulnrable, entranant potentiellement l’excution de code arbitraire dans le systme ou la fuite de donnes confidentielles. Tout ce qu’un attaquant doit faire est d’envoyer une chane spciale via le mcanisme qui crit cette chane dans un fichier journal et est donc gre par la bibliothque Log4j. Cela peut tre fait avec de simples requtes HTTP, par exemple, celles envoyes via des formulaires Web, des champs de donnes, etc., ou avec tout autre type d’interactions utilisant la journalisation ct serveur.
La vulnrabilit a t caractris par Tenable comme la vulnrabilit la plus importante et la plus critique de la dernire dcennie .
Des preuves de concept ont dj t publies. Cette vulnrabilit fait dsormais l’objet d’une exploitation active.
La svrit de la brche est maximale 10 sur lchelle CVSS.
Voici, ci-dessous, la liste des systmes affects :
- Apache Log4j versions 2.0 2.14.1 ;
- Apache Log4j versions 1.x (versions obsoltes) sous rserve d’une configuration particulire ;
- Les produits utilisant une version vulnrable de Apache Log4j : les CERT nationaux europens tiennent jour une liste complte des produits et de leur statut vis–vis de la vulnrabilit.
Les logiciels libres constituent le socle du monde numrique et la vulnrabilit de Log4j a dmontr quel point nous en dpendons. Cet incident a prsent une menace srieuse pour les systmes fdraux et les entreprises d’infrastructures critiques – notamment les banques, les hpitaux et les services publics – sur lesquels les Amricains comptent chaque jour pour obtenir des services essentiels , a dclar le snateur Peters. Cette lgislation de bon sens et bipartisane contribuera scuriser les logiciels libres et renforcer davantage nos dfenses de cyberscurit contre les cybercriminels et les adversaires trangers qui lancent des attaques incessantes sur les rseaux travers la nation.
Comme nous l’avons vu avec la vulnrabilit de log4shell, les ordinateurs, les tlphones et les sites Web que nous utilisons tous chaque jour contiennent des logiciels libres qui sont vulnrables aux cyberattaques , a dclar le snateur Portman. La loi bipartisane Securing Open Source Software Act garantira que le gouvernement amricain anticipe et attnue les vulnrabilits de scurit dans les logiciels open source afin de protger les donnes les plus sensibles des Amricains.
Cette importante lgislation codifiera, pour la toute premire fois, les logiciels libres en tant qu’infrastructure publique , a dclar Trey Herr, directeur de l’initiative Cyber Statecraft, Centre Scowcroft pour la stratgie et la scurit, Conseil atlantique. Si cette loi est signe, elle constituera une tape historique pour un soutien fdral plus large la sant et la scurit des logiciels libres. Je suis encourag par le leadership des snateurs Peters et Portman sur cette question.
L’crasante majorit des ordinateurs dans le monde s’appuie sur le code source ouvert – un code librement disponible que chacun peut contribuer, dvelopper et utiliser pour crer des sites web, des applications et bien plus encore. Il est maintenu par une communaut de personnes et d’organisations. Le gouvernement fdral, qui est l’un des plus grands utilisateurs de logiciels libres au monde, doit tre en mesure de grer ses propres risques et de contribuer la scurit des logiciels libres dans le secteur priv et le reste du secteur public.
En dbut danne, Daniel Stenberg, le crateur de cURL, a reu un courriel en provenance d’une entreprise appartenant au Fortune 500, le classement des 500 premires entreprises amricaines classes selon l’importance de leur chiffre d’affaires. Ladite entreprise (ou ses clients) utilisait probablement cURL et, dans le contexte de la vulnrabilit dans la bibliothque de journalisation Apache log4j, lui a pos une srie de questions pour savoir entre autres si cURL s’appuyait sur log4j. Si vous tes une entreprise de plusieurs milliards de dollars et que vous tes proccup par log4j, pourquoi ne pas simplement envoyer un e-mail aux auteurs OSS qui vous n’avez jamais rien pay et exiger une rponse gratuite dans les 24 heures avec beaucoup d’informations ? a-t-il demand en prsentant le courriel qu’il a reu.
cURL (abrviation de client URL request library : bibliothque de requtes aux URL pour les clients ou see URL : littralement voir URL ) est une interface en ligne de commande, destine rcuprer le contenu d’une ressource accessible par un rseau informatique. La ressource est dsigne l’aide d’une URL et doit tre d’un type support par le logiciel. Le logiciel permet de crer ou modifier une ressource (contrairement wget), il peut ainsi tre utilis en tant que client REST.
Le programme cURL implmente l’interface utilisateur et repose sur la bibliothque logicielle libcurl, dveloppe en langage C. Celle-ci est ainsi accessible aux dveloppeurs qui veulent disposer des fonctionnalits d’accs au rseau dans leurs programmes. Des interfaces ont t cres dans de nombreux langages (C++, Java, .NET, Perl, PHP, Ruby…).
La loi sur la scurisation des logiciels libres demanderait la CISA de dvelopper un cadre de risque pour valuer la manire dont le code source ouvert est utilis par le gouvernement fdral. La CISA valuera galement comment ce mme cadre pourrait tre utilis volontairement par les propritaires et les exploitants d’infrastructures critiques. Cela permettra d’identifier les moyens d’attnuer les risques dans les systmes qui utilisent des logiciels open source. La lgislation exige galement que la CISA engage des professionnels ayant de l’exprience dans le dveloppement de logiciels open source afin de s’assurer que le gouvernement et la communaut travaillent main dans la main et soient prpars faire face des incidents tels que la vulnrabilit de Log4j.
En outre, la lgislation exige que l’Office of Management and Budget (OMB) mette des directives l’intention des agences fdrales sur l’utilisation scurise des logiciels libres et cre un sous-comit de scurit logicielle au sein du comit consultatif sur la cyberscurit de la CISA.
Peters et Portman ont men plusieurs efforts pour renforcer la cyberscurit de notre nation. Leur disposition historique et bipartisane visant obliger les propritaires et les exploitants d’infrastructures critiques faire rapport la CISA s’ils subissent une cyberattaque importante ou s’ils effectuent un paiement par ransomware a t promulgue. La lgislation des snateurs visant renforcer la cyberscurit des gouvernements des tats et des collectivits locales a galement t promulgue. Les projets de loi de Peters et Portman visant protger les rseaux fdraux et garantir que le gouvernement puisse adopter en toute scurit la technologie du cloud ont galement t adopts l’unanimit par le Snat.
Source : Homeland Security & Governmental Affairs
Et vous ?
Que pensez-vous de la dmarche des snateurs ?
Pensez-vous que la scurit des logiciels libres ncessitent plus de renforcement que les logiciels propritaires ?
Voir aussi :