Après la découverte d’une faille critique dans Log4j, une bibliothèque de journalisation utilisée par des millions d’applications Java, la liste des éditeurs et constructeurs mettant à jour leurs systèmes s’allonge. Selon le site Electic Light Company, Apple a corrigé la faille dans iCloud. Le site explique que les 9 et 10 décembre, les chercheurs avaient pu faire la démonstration de la vulnérabilité en se connectant à iCloud via le web, et le 11 décembre, cette même brèche avait disparu. L'exploitation ne semble pas avoir affecté macOS.
Par contre, la faille a été exploitée dans Minecaft avant qu’elle ne soit corrigée par Microsoft pendant le week-end. Selon les chercheurs en sécurité, il suffisait à un pirate de coller un message apparemment inoffensif dans la boîte de discussion pour compromettre les serveurs de Minecraft. Des méthodes d'exploitation similaires peuvent être utilisées pour pirater n'importe quelle application utilisant la bibliothèque open source. On ne sait pas exactement combien d'applications sont affectées par le bug, mais l'utilisation de Log4j est extrêmement répandue. Adam Meyers, du site Crowdstrike, a déclaré qu’elle était pleinement exploitée et que l’on trouve facilement les outils pour s’en servir. « L'Internet est en feu en ce moment », a-t-il ajouté, peu après la divulgation publique de l'exploit.
Une faille aux multiples implications
L'Apache Software Foundation, qui gère le projet, lui a attribué la note de 10 sur son échelle de risque en raison de la facilité avec laquelle le bug pouvait être exploité et de l’usage très répandu de l'outil. La bibliothèque Log4j est utilisée sur le web pour la journalisation, une pratique universelle parmi les développeurs web. Apache a publié une mise à jour, mais l'omniprésence de l'outil Java signifie que de nombreuses applications sont encore vulnérables. Pour Amit Yoran, CEO de l’entreprise de cybersécurité Tenable, « cette vulnérabilité est l’une des plus importantes et des plus critiques de la dernière décennie ».
Cependant, même si l’on utilise l'une des applications concernées, le Mac n’est pas en danger. Quand il est exploité, le bogue affecte le serveur exécutant Log4j, et non les ordinateurs clients, même si théoriquement, il pourrait être utilisé pour implanter une application malveillante qui affectera ensuite les PC connectées. Cependant, ceux qui hébergent sur leur propre serveur et qui utilisent des méthodes de journalisation sur leur Mac, doivent appliquer le correctif, car ils pourraient être exposés sans le savoir.
Commentaire