Vous avez sûrement entendu dans les médias l'annonce d'une vulnérabilité critique sur Log4j qui a affecté plusieurs sites gouvernementaux et a fait beaucoup de bruit cette semaine dans le monde des TI.
Dans certains média, le mot clé utilisé pour décrire l'origine de la faille a été “Apache”. Toutefois, le mot clé qu'on doit retenir est plutôt Log4j.
Qu'est ce que Log4j ?
Log4j est une librairie de journalisation en langage JAVA maintenue par la fondation Apache. Elle donne accès à du code conçu et déployé par d'autres développeurs et est utilisée pour l’enregistrement des activités d’une application. Cela permet de monitorer la bonne fonctionnalité d’un logiciel et de rapporter les erreurs dans le cas contraire.
Quels sont les risques de cette faille ?
Il a été découvert que du code malveillant pouvait être exécuté sur des serveurs utilisant cette librairie Log4j.
Cette faille de sécurité permet une intrusion dans les réseaux informatiques des compagnies et même de prendre le contrôle en tant qu'administrateur. Elle s’est d’ailleurs vue attribuer le score de sévérité de 10 sur 10 selon l’échelle de Common Vulnerability Scoring System (CVSS).
La problématique étant que Log4j est une librairie énormément utilisée, sous des versions qui diffèrent, il faut donc s’assurer que le patch pour contrer la faille est compatible sans compter que la mise à jour des outils peut prendre du temps.
À partir de là, quoi faire ?
Le risque avec une telle vulnérabilité est qu'elle affecte une librairie pouvant être utilisée dans une multitude d'autres logiciels. Il faut donc potentiellement mettre à jour plusieurs applications si celles-ci sont touchées, de façon à éviter les intrusions que permettent cette faille.
Nous vous invitons donc à vous informer auprès de vos services ou outils TI tiers de façon à confirmer que les correctifs nécessaires ont été mis en place et à sécuriser vos données.