Alors que les organisations se démènent pour colmater les brèches liées à la faille du logiciel Log4j, un nouveau rapport estime que cette vulnérabilité est "endémique" et qu'elle posera des risques de sécurité pendant potentiellement une décennie ou plus. Le rapport, publié jeudi par un comité d'examen de la cybersécurité (The Cyber Safety Review Board - CSRB) créé par le président américain Joe Biden, indique également que la faille de Log4j est l'une des vulnérabilités logicielles les plus graves de l'histoire et que, même s'il n'y a pas eu de signe de cyberattaque majeure due cet exploit, les entreprises auront du mal à s'en débarrasser.Log4j est une bibliothèque logicielle utilitaire open source programmée en langage Java. Il enregistre les événements - erreurs et opérations de routine d'un système - et communique des messages de diagnostic à leur sujet aux administrateurs et aux utilisateurs du système. Le logiciel est fourni par l'Apache Software Foundation. Un exemple courant de Log4j au travail est lorsque vous tapez ou cliquez sur un mauvais lien Web et obtenez un message d'erreur 404. Le serveur qui gère le domaine de l'adresse Web que vous avez essayé d'atteindre vous indique qu'il n'existe pas une page Web de ce type.
Il enregistre également cet événement dans un journal destiné aux administrateurs système du serveur à l'aide de Log4j. Des messages de diagnostic similaires sont utilisés dans toutes les applications logicielles. Par exemple, dans le jeu en ligne Minecraft, Log4j est utilisé par le serveur pour enregistrer des activités telles que la mémoire totale utilisée et les commandes utilisateur tapées dans la console. Seulement, une faille découverte dans le logiciel fin 2021 permettrait aux attaquants de prendre facilement le contrôle de tout, des systèmes de contrôle industriels aux serveurs Web et aux appareils électroniques grand public.
Les premiers signes évidents de l'exploitation de la faille sont apparus dans Minecraft de Microsoft. La découverte de la faille a suscité des mises en garde urgentes de la part des responsables gouvernementaux et des efforts massifs de la part des professionnels de la cybersécurité pour corriger les systèmes vulnérables. Le CSRB a déclaré jeudi qu'à sa grande surprise, l'exploitation du bogue de Log4j s'était produite à des niveaux inférieurs à ceux prévus par les experts. « Log4j est l'une des failles logicielles les plus graves de l'histoire », a déclaré le président du comité, Rob Silvers, sous-secrétaire du ministère de la Sécurité intérieure (DHS).
Le comité a ajouté qu'il n'avait pas connaissance d'attaques "importantes" liées à la vulnérabilité de Log4j sur des systèmes d'infrastructures critiques, mais a noté que certaines cyberattaques ne sont pas signalées. Le groupe a allégué que de futures attaques sont probables, en grande partie parce que Log4j est couramment intégré à d'autres logiciels et qu'il peut être difficile pour les organisations de détecter son fonctionnement dans leurs systèmes. Selon les analystes, la bibliothèque Log4j est extrêmement populaire auprès des développeurs de logiciels commerciaux. « Cet événement n'est pas terminé », prévient Silvers.
Pour mémoire, un chercheur en sécurité d'Alibaba a informé la fondation le 24 novembre. Il a fallu deux semaines pour développer et publier un correctif. Les médias chinois ont rapporté que le gouvernement avait puni Alibaba pour ne pas avoir signalé la faille plus tôt aux responsables de l'État. Le comité a déclaré jeudi qu'il avait trouvé des "éléments troublants" dans la politique du gouvernement chinois en matière de divulgation des vulnérabilités, affirmant que cela pouvait donner aux pirates informatiques de l'État chinois un aperçu précoce des failles informatiques qu'ils pouvaient utiliser à des fins néfastes.
La vulnérabilité de Log4j peut être exploitée à distance pour permettre l'exécution de code sur les systèmes vulnérables et a reçu un score de gravité CVSS maximal de 10 sur 10. Selon le CSRB, ces groupes affiliés à l'État chinois pourraient exploiter ce type de failles pour voler des secrets commerciaux ou espionner les dissidents. Le gouvernement chinois a longtemps nié tout acte répréhensible dans le cyberespace et a déclaré qu'il encourageait un meilleur partage des informations sur les vulnérabilités des logiciels. Le CSRB est composé de 15 responsables de la cybersécurité issus du secteur privé et du gouvernement.
Le groupe d'experts a été chargé d'examiner les événements majeurs en matière de cybersécurité et de formuler des recommandations pour améliorer la cybersécurité des secteurs public et privé. Le rapport sur la vulnérabilité de Log4J est le premier publié par le CSRB depuis sa création par le président Biden en février 2022. Pour l'examen de la vulnérabilité de Log4j, le CSRB s'est entretenu avec près de 80 organisations pour comprendre comment la vulnérabilité a été ou est encore atténuée, afin d'élaborer des recommandations concrètes pour prévenir et répondre efficacement à de futurs incidents de ce type.
Le rapport du CSRB est divisé en trois sections, fournissant des informations factuelles sur la vulnérabilité et ce qui s'est passé, les résultats et les conclusions basés sur une analyse des faits, et une liste de recommandations. Les 19 recommandations exploitables sont réparties en quatre catégories : traiter les risques continus liés aux vulnérabilités du logiciel Log4j ; conduire les meilleures pratiques existantes en matière d'hygiène de sécurité ; construire un meilleur écosystème logiciel ; et les investissements dans l'avenir. Le groupe recommande également d'investir plus dans la formation d'expert en cybersécurité.
L'une des recommandations les plus importantes est de créer et de maintenir un inventaire précis des actifs informatiques, car les vulnérabilités ne peuvent être traitées si l'on ne sait pas où elles existent. Il est essentiel de disposer d'une nomenclature complète des logiciels (SBOM) qui inclut tous les composants logiciels tiers et les dépendances utilisés dans les solutions logicielles. L'un des plus gros problèmes pour traiter les vulnérabilités de Log4j est de comprendre quels produits ont été affectés. Le rapport recommande également aux entreprises de développer un programme de réponse aux vulnérabilités.
En outre, le CSRB conseille aux entreprises de mettre en place un processus de divulgation et de traitement des vulnérabilités, et suggère au gouvernement américain d'étudier la viabilité d'un centre d'excellence pour l'évaluation des risques de sécurité des logiciels. « Jamais auparavant les responsables informatiques de l'industrie et du gouvernement ne s'étaient réunis de cette manière pour examiner des incidents graves, identifier ce qui s'est passé et conseiller l'ensemble de la communauté sur la façon dont nous pouvons faire mieux à l'avenir », a déclaré Silvers la semaine dernière.
« Notre examen de Log4j a donné lieu à des recommandations qui, nous en sommes convaincus, peuvent conduire à des changements et améliorer la cybersécurité », a-t-il ajouté. Le décret de Biden demande également au comité de procéder à un examen de la campagne massive de cyberespionnage prétendument russe connue sous le nom de SolarWinds. Les pirates informatiques russes auraient réussi à pénétrer dans plusieurs agences fédérales, y compris dans des comptes appartenant à de hauts responsables de la cybersécurité du DHS, bien que les retombées de cette campagne ne soient pas encore claires.
Source : Rapport du Cyber Safety Review Board (PDF)
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous des conclusions du rapport du CSRB ?Voir aussi
Deuxième vulnérabilité Log4j découverte : un correctif est déjà publié, le correctif de la première vulnérabilité étant « incomplet » Log4j : une entreprise du Fortune 500 exige des réponses rapides et gratuites du créateur de cURL, qui leur a indiqué qu'il le ferait « dès que nous aurons signé un contrat de support » L'exploitation de Log4Shell se poursuit : plus de 30 000 scans signalés en janvier, la vulnérabilité continue de représenter une vaste menace malgré le correctif publié par la Fondation Apache 
