IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le ministère de la Défense belge subit une cyberattaque en raison d'une vulnérabilité de Log4j,
L'identité des auteurs de l'attaque est toutefois inconnue

Le , par Bruno

73PARTAGES

12  0 
Le ministère belge de la défense a déclaré le 16 décembre avoir découvert une attaque sur son réseau informatique. L'attaque qui a eu lieu la semaine dernière en exploitant l'une des vulnérabilités de Log4j a paralysé certaines activités du ministère. « La Défense a découvert une attaque sur son réseau informatique avec accès à Internet. Des mesures de quarantaine ont été rapidement prises pour isoler les parties touchées. Cette attaque fait suite à l'exploitation de la vulnérabilité Log4j, qui a été rendue publique la semaine dernière et pour laquelle les spécialistes informatiques du monde entier s'engouffrent dans la brèche », a déclaré, Olivier Severin le porte-parole du ministère.

Depuis jeudi dernier, l'armée belge est aux prises avec les conséquences d'une grave cyberattaque. Une partie du réseau informatique ne peut être utilisée pour l'instant, précise le porte-parole. Le système de messagerie, par exemple, est en panne depuis plusieurs jours. L'attaque informatique s'est produite après qu'une faille de sécurité dans le logiciel ait été découverte la semaine dernière seulement.


Comme indiqué précédemment, l'attaque à la Défense a été causée par une faille dans la sécurité du logiciel Log4j d'Apache, largement utilisé. La faille de sécurité est apparue juste avant le week-end et représente un risque important pour les réseaux d'entreprise du monde entier, car de nombreuses applications bien connues utilisent le logiciel en question pour conserver les "journaux".

Selon le fournisseur israélien de solutions de cybersécurité Check Point Software Technologies, un groupe de pirates informatiques liés au régime iranien, surnommé Charming Kitten ou APT 35, a exploité la faille de Log4j pour lancer des attaques contre sept cibles en Israël, dont des sites gouvernementaux.

Log4j est une bibliothèque de journalisation open source basée sur Java utilisée dans des millions d'applications. Il y a quelques jours, une vulnérabilité dans Log4J a été découverte. Elle permet à un cybercriminel de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'évènement.

Grâce à Log4j, les entreprises technologiques peuvent vérifier si leurs applications fonctionnent correctement. S'il y a un défaut quelque part dans une application, un message d'erreur est envoyé via Log4j au fabricant, qui peut alors déterminer si une réparation est nécessaire. Amazon, Apple, Cloudflare, Tesla, Minecraft et Twitter, entre autres, utilisent également Log4j.

L’attaque a été causée par une faille dans la sécurité du logiciel Log4j d'Apache, largement utilisé, selon le ministère de la Défense. La faille de sécurité est apparue juste avant le week-end et représente un risque important pour les réseaux d'entreprise du monde entier, car de nombreuses applications bien connues utilisent le logiciel en question pour conserver des "journaux".

La semaine dernière, des avertissements ont été lancés concernant les problèmes causés par la fuite dans le logiciel largement utilisé. Les entreprises spécialisées en cybersécurité ont indiqué que le nombre d'attaques profitant de cette faille se multiplient. Pour remédier à cette situation, les membres de l’Apache Software Fondation ont développé un patch.

Les chercheurs ont signalé qu'il existe au moins deux vulnérabilités dans le correctif, publié sous le nom de Log4J 2.15.0, et que les attaquants exploitent activement l'une d'entre elles ou les deux contre des cibles du monde qui ont déjà appliqué la mise à jour. Les chercheurs ont exhorté les organisations à installer un nouveau correctif, publié en tant que version 2.16.0, dès que possible pour corriger la vulnérabilité, qui est suivie comme CVE-2021-45046.

Le correctif précédent, ont déclaré les chercheurs, « était incomplet dans certaines configurations autres que celles par défaut » et permettait aux attaquants d'effectuer des attaques par déni de service, ce qui facilite généralement la mise hors ligne des services vulnérables jusqu'à ce que les victimes redémarrent leur serveurs ou prennent d'autres mesures. La version 2.16.0 « résout ce problème en supprimant la prise en charge des modèles de recherche de messages et en désactivant la fonctionnalité JNDI par défaut », selon l'avis de vulnérabilité lié ci-dessus.

Des chercheurs de la société de sécurité Praetorian ont déclaré qu'il y avait une vulnérabilité encore plus grave dans 2.15.0 (une faille de divulgation d'informations qui peut être utilisée pour télécharger des données à partir des serveurs concernés).

Le Centre de cybersécurité de Belgique, une organisation gouvernementale, a publié un communiqué de presse indiquant que « Les entreprises qui utilisent le logiciel Apache Log4j et qui n'ont pas encore pris de mesures peuvent s'attendre à des problèmes majeurs dans les jours et les semaines à venir. » La semaine dernière, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) du gouvernement américain a publié une directive d'urgence exigeant que les agences fédérales prennent des mesures correctives concernant la vulnérabilité d'Apache Log4j avant le 23 décembre 2021.

Source : VRT

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Jamais deux sans trois : Apache révèle un autre bogue dans la bibliothèque de journalisation Log4J, le troisième correctif majeur en dix jours est une faille de récursivité infinie

Plus de 35 000 packages Java impactés par les vulnérabilités Log4j, selon un rapport de l'équipe open source de Google

Des cybercriminels exploitent activement la faille critique dans Log4J : plus de 840 000 attaques ont été détectées, le spectre d'un scénario rappelant Heartbleed fait surface

Les cybercriminels exploitent la faille "zero-day", alors que les entreprises prennent 97 jours en moyenne pour mettre en œuvre les correctifs, selon HP Wolf Security

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Escapetiger
Expert éminent https://www.developpez.com
Le 24/12/2021 à 13:34
Nous sommes dans un forum spécialisé mais tout de même pour une question de clarté avec tous ces sigles :

IPS
« Un système de prévention d'intrusion (ou IPS, intrusion prevention system) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux systèmes de détection d'intrusion (ou IDS, intrusion detection system), permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il peut par exemple détecter un balayage automatisé malveillant, et bloquer les ports.

Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en cas de faux positif de bloquer du trafic légitime.
(.../...) »

EDR
« Un logiciel de type EDR désigne une technologie émergente de détection des menaces sur les EndPoints (ordinateurs, serveurs). Ce terme Endpoint Detection and Response (EDR), est utilisé pour la première fois en juillet 2013 par Anton Chuvakin1 de la société Gartner.
(.../...)
Combiné avec un moteur basé sur de l'intelligence artificielle, le logiciel EDR est très réactif dans la détection et l'arrêt de menaces (Malwares, virus, attaques zero Day, menaces persistantes avancées, ...). L'intelligence artificielle lui permet d'être auto-apprenant et de ne pas devoir se connecter sur internet pour mettre à jour des bases de données.
»

Sources Wikipedia :

Système de prévention d'intrusion

Endpoint detection and response
5  0 
Avatar de sekaijin
Expert éminent https://www.developpez.com
Le 24/12/2021 à 16:40
Lister les dépendances par transitivité pour connaitre les projet "Potentiellement" impactés
N'est en soit pas très compliqué mais très largement insuffisant surtout si on fait ça sur maven central.
En effet Maven Central garde aussi toute les vielles versions donc même s'il y a eu des corrections les version non corrigé restent.

On peut très vite avoir des chiffres énorme sans pour autant que ce soit la cata.

Quant à ce que que j'ai lu ici sur YAKAFOKON c'est très loin d'être si facile. Je m'occupe d'un outil qui est composé de centaines d'éléments divers avec un chargement dynamique la bête a tourné 8 ans sans interruption, avec des mise à jour à chaud, un changement de serveur physique à chaud (juste des arrêts partiels de certain composants quelques minutes).
Arriver à qualifier la compatibilité de plusieurs centaines de composants est un très long travail. Il nous est déjà arrivé de revenir en arrière après plusieurs mois de travail parce qu'un composants n'était plus compatible avec l'ensemble.

Quant à l'approche de google si j'avais suivi la même approche j'aurais à ce jour environs 200 projet impactés.
Hors tous dépendent d'une librairie qui est compilé avec log4j (donc une dépendance). Mais cette librairie importe une partie seulement de log4j et supprime tout le code inutile. La partie impactée par le PB de sécurité n'est plus dans le code de la lib. les 200 projets ne sont donc pas impactés.

à contraio je suis tombé sur un dev qui importe par transitivité un clone de log4j qui lui embarque le code en question et là l'approche de Google ne l'a pas trouvé et pour cause. Ouf il s'agissait d'un démonstrateur pas de prod.

Donc à tous les YAKAFOKON Oui il est très simple dans le gestionnaire de dépendance de surcharger la version de log4j pour en choisir une non impactée.
Mais sur les millions de lignes de code comment garantir que ce changement ne va pas introduire de bug ?
On pourrait imaginer que finalement ce ne sont que des log c'est pas si grave si on n'a pas la trace tant que le prog fonctionne mais voilà un changement de version de log4j sans précaution et up un nullpointerexception dans un log.info et le prog ne fonctionne plus.

Il n'y a rien de simple. C'est un travail permanent, une vigilance, et des mois de tests pour valider un assemblage.

A+JYT
5  0 
Avatar de TJ1985
Membre expérimenté https://www.developpez.com
Le 14/01/2022 à 9:34
C'est ce qui m'a toujours effrayé lorsque j'ai assisté à l'explosion des bibliothèques et plateformes en ligne. Pour avoir commis une fois un bug dans une librairie partagée, je mesure pleinement l'impact que ça peut avoir. Là, j'avais encore la main dessus, et sur l'ensemble des applications qui l'utilisaient et ça a quand même fait des dégâts. Mais si elle avait été lâchée dans la nature... à moi la peur !
J'ai l'impression que nous avons perdu la tête. Toutes les entreprises ne font pas du commerce en ligne, toutes n'ont pas besoin d'un cloud externe et beaucoup bénéficieraient des services d'un bon analyste bien plus que d'une SSII avide de rentabilité - pour elle-même.
5  1 
Avatar de tabouret
Membre confirmé https://www.developpez.com
Le 23/12/2021 à 16:34
Mon avis? Bien fait pour le ministère de la défense Belge.

Une faille pareille ça se corrige dans la minute, pas deux semaines après.
1  0 
Avatar de TotoParis
Membre éclairé https://www.developpez.com
Le 23/12/2021 à 20:34
Citation Envoyé par tabouret Voir le message
Mon avis? Bien fait pour le ministère de la défense Belge.

Une faille pareille ça se corrige dans la minute, pas deux semaines après.
Ah le sale gosse ! Gros prétentieux en plus !
Bonhomme, si c'était aussi simple. Les YAKA-FAUKON...on en a plein !
2  1 
Avatar de tabouret
Membre confirmé https://www.developpez.com
Le 23/12/2021 à 22:54
Citation Envoyé par TotoParis Voir le message
Ah le sale gosse ! Gros prétentieux en plus !
Bonhomme, si c'était aussi simple. Les YAKA-FAUKON...on en a plein !


Non sans déconner deux semaines qu'on en parle, qu'on est averti par l'ANSSI et autre organisme à tous les étages... OK ils n'ont pas les moyens de déployer un IPS, un EDR ni même de patcher leur truc. Mais sérieux tu coupes au minimum tous tes flux de sortie ou tu filtres drastiquement via de simples règles firewall, tu ne laisses pas un gros ANY.
1  0 
Avatar de Markand
Membre éclairé https://www.developpez.com
Le 29/12/2021 à 15:02
4 vulnérabilités pour une bibliothèque de logs. C'est le problème de la communauté Java, l'over engineering à outrance. Quand tu vois que log4j est capable de se connecter à une base de données tu as des questions à te poser.
7  6 
Avatar de marsupial
Expert confirmé https://www.developpez.com
Le 04/01/2022 à 16:38
La faille aussi massive et mondiale soit-elle n'en reste pas moins une mauvaise excuse pour jeter Java et Apache comme le faisait mon vdd au commentaire que tu as cité. Si tu savais le nombre de vulnérabilités dans PHP...

D'ailleurs la Maison Blanche a déclaré la sécurité de l'open source question de sécurité nationale et va réunir courant du mois de Janvier tous les acteurs ayant de près ou de loin à faire avec l'open source.

source Bloomberg du 23 Décembre et 01net du 27 décembre
1  0 
Avatar de marsupial
Expert confirmé https://www.developpez.com
Le 23/12/2021 à 18:36
Je suis d'accord mais je ne saurai pas trop prompte à jeter la pierre car les belges n'ont peut-être pas les ressources nécessaires. pour appliquer le correctif. Le monde entier défend et attaque sur cette vulnérabilité, et le temps joue contre les défenseurs. Plus le temps passe, plus il risque d'y avoir des attaques victorieuses. Et tout le monde ne dit pas s'il a été powned donc les belges sont loin d'être les seuls.
0  0 
Avatar de tabouret
Membre confirmé https://www.developpez.com
Le 23/12/2021 à 18:45
C'est vrai mais ce n'est pas parce que le serveur n'est pas patché qu'il est vulnérable.
Ca veut aussi dire qu'ils ont ouvert un sacré flux ANY en destination de sortie et ça ce n'est pas vraiment pardonnable de la part d'un ministère de la défense.

Bon et bien sur qu'ils n'ont aucun IPS, certainement aucun EDR, qu'ils n'ont fait aucun audit et donc aucun patch/mitigation. Donc par extrapolation qu'ils n'ont aucun ingénieur sécurité.
0  0