Avez-vous déjà entendu parler du LOG4J ? Si non, il s’agit d’un outil de journalisation basé sur Java qui a été développé par l’Open Source Apache Software Foundation. Il a pour fonction principale de déboguer des applications pendant le cycle de vie du développement et d’impliquer l’inclusion de données de journal dans le code. Actuellement, il est utilisé par des millions d’entreprises pour se protéger des menaces informatiques. Il peut fonctionner sur n’importe quelle plateforme dont Windows, Linux et Mac OS d’Apple.
Le LOG4J est devenu si populaire auprès de nombreux développeurs de logiciels et chercheurs. Après tout, comme leur mission est de sécuriser l’information, ils s’attendent à tout moment à des attaques qui sont aujourd’hui de plus en plus fréquentes et significatives sur les serveurs. LOG4J est également utilisé dans les jeux en ligne et dans les centres de données Cloud. Mais qu’entend-on par faille LOG4J ?
Pour mieux comprendre la faille LOG4J sur Apache, il est nécessaire de se rappeler d’une situation très grave qui s’est passée en décembre dernier. Plusieurs organes de presse ont signalé l’apparition d’une plus grave faille de sécurité sur le LOG4J. Il s’agit du CVE 2021-4428, dont le niveau de gravité de CVSS est de 10 sur 10. C’est là la vulnérabilité du LOG4J et les attaquants, pour aggraver encore plus les choses, vont exploiter cette faille. Ce qui conduira les millions de systèmes utilisant cette bibliothèque à s’ouvrir aux interférences extérieures et donc à s’exposer aux pirates informatiques. Ces derniers pourront donc avoir un accès privilégié dans ces systèmes.
Cette vulnérabilité a déjà été repérée en 2020, mais elle n’a été considérée qu’en décembre dernier lorsqu’il a été redécouvert par un chercheur de LunaSec de Minecraft de Microsoft. Depuis lors, les attaquants ont transformé cette vulnérabilité qui a été auparavant négligée en une dangereuse menace pour le monde de l’informatique. On lui a donné le nom de « Log4Shell ».
Comment savoir si on utilise LOG4J ?
Il est assez difficile de s’échapper de cette faille puisque toutes les principales applications et tous les serveurs d’entreprises qui sont basés sur Java utilisent cette bibliothèque pour consigner des messages d’erreur. Et c’est là que réside le problème, car toute machine utilisant la version Apache Log4j 2.0 à 2.14.1 et qui accède à Internet sont tous exposées à cette menace informatique. Tous les grands services sont touchés à savoir Amazon AWS, Azure, Baidu, Cloudflare, Druid, ElasticSearch, iCloud, Java de Minecraft, Steam, Flink, Tencent QQ, Struts 2, Soir, etc.
Si aucune mesure n’est prise, les attaquants peuvent s’introduire facilement dans vos données personnelles, voler vos mots de passe et identifiants, et infecter vos réseaux avec des logiciels malveillants, voire voler vos empreintes digitales et prendre le contrôle total de votre serveur.
Le Log4J est devenu maintenant un cas extrêmement critique. Même les spécialistes en sécurité informatique ne trouvent pas les mots pour définir cette vulnérabilité. Le chercheur de LunaSec à qui revient sa découverte la décrit comme un « échec de conception de proportions catastrophiques ».
Comme mentionnées plus haut, toutes les entreprises utilisent ce LOG4J et en sont donc menacées. Bref, pour savoir si vous utilisez le Log4J et que vous êtes déjà attaqué, vérifiez si quelque chose ne fonctionne pas normalement sur votre machine. C’est déjà un signe non trompeur de cette faille. Les données exploitées peuvent être n’importe quoi et ne peuvent s’y échapper tant qu’elles sont présentes sur des appareils connectés sur le serveur attaqué.
Comment éviter la faille LOG4J sur Apache ?
A toutes les entreprises et particulières qui utilisent le LOG4J, voici quelques conseils pouvant vous aider à atténuer l’impact de la vulnérabilité de votre outil.
Premièrement, vous devez exécuter régulièrement des mises à jour surtout si votre machine est connectée en permanence. Si une fenêtre d’internet vous indique d’installer des mises à jour et des correctifs de sécurité pour votre machine, n’hésitez surtout pas à le faire. Mais à ce propos, il convient de bien vérifier que ce sont des messages qui viennent de la part des éditeurs de logiciels comme Minecraft ou Open Source, par exemple. Sinon, votre machine risque d’être infectée par un virus si vous cliquez.
Deuxièmement, il faudra définir des règles pour LOG4J dans le pare-feu des applications web sur votre machine. L’idéal est d’installer Firewall d’Application Web ou WAF et d’ajouter des règles d’applications axées sur LOG4J. Ce logiciel bloque toutes les chaînes de caractère dangereux sur les appareils en amont.
La troisième solution proposée pour se protéger de la faille LOG4J sur Apache est de lancer des alertes pour les enquêtes sur la vulnérabilité qui sont recommandées par le National Cyber Security Center ou le NSCS. Vous pouvez en bénéficier auprès du responsable des opérations de sécurité de votre organisation qui s’occupe de rechercher ces menaces et de prendre les mesures adéquates à chaque alerte générée par le LOG4J.
Et le dernier conseil et non le moindre c’est d’utiliser un correctif à cette vulnérabilité. Mais pour en bénéficier, il faut mettre à jour le LOG4J vers la version 2.15.0. Vous pouvez vous appuyer sur des méthodes traditionnelles de gestion des vulnérabilités, mais la meilleure solution est sans aucun doute d’utiliser des solutions à multiples types d’analyses, notamment celles qui permettent l’analyse des chaînes de configuration dans les fichiers.