Log4j Zero-Day Exploit

Ce terme est sur les lèvres de tous les administrateurs systèmes actuellement.

Mais qu’est-ce que c’est, un « Zero-Day Exploit » ? Pour faire simple, il s’agit d’une vulnérabilité informatique pour laquelle on ne connaît pas encore de correctif, et qui peut donc être exploitée par d’éventuels pirates.
C’est le cas pour le logiciel Log4j depuis vendredi passé, un patch correctif est d’ores et déjà disponible depuis vendredi après-midi, mais tous les systèmes impactés n’ont pas encore pu déployer la mise à jour.

Mais Log4j, c’est quoi ce logiciel inconnu, personne ne l’utilise non ?
Détrompez-vous, Log4j est une librairie très populaire développée par la fondation Apache et qui permet de garder un historique de diverses opérations effectuées sur un système. Si vous ne l’utilisez pas directement, il est très probable que de nombreuses applications (web pour la plupart) que vous utilisez emploient la librairie, même si c’est invisible pour vous. Pour ne citer que quelques fournisseurs de logiciels concernés : Atlassian, Amazon, Microsoft Azure, Cisco, Commvault, ESRI, Exact, Fortinet, JetBrains, Nelson, Nutanix, OpenMRS, Oracle, Red Hat, Splunk, Soft, et VMware.

Nous n’allons pas détailler ici le fonctionnement de cette vulnérabilité et comment les pirates peuvent l’exploiter, mais si le sujet vous intéresse, la « Computer Emergency Response Team » de la confédération a publié un article de blog sur le sujet.

En tant qu’utilisateur, vous ne pouvez pas faire grand chose à part espérer que vos administrateurs systèmes réussissent à mettre en place les mises à jour évitant la vulnérabilité le plus vite possible. Mais c’est une belle leçon pour se rappeler que la sécurité devient un enjeu de plus en plus important avec la numérisation de nos systèmes. Pour éviter de surmener nos administrateurs, il nous incombe de bien suivre les règles de sécurité de base afin de décharger les responsables de la sécurité de ce que l’on peut déjà éviter en tant qu’utilisateur.