IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un nouveau groupe de travail sur la cybersécurité affirme que la faille du logiciel Log4j est "endémique"
Et qu'elle pourrait poser des risques de sécurité pendant une décennie ou plus

Le , par Bill Fassinou

29PARTAGES

9  0 
Alors que les organisations se démènent pour colmater les brèches liées à la faille du logiciel Log4j, un nouveau rapport estime que cette vulnérabilité est "endémique" et qu'elle posera des risques de sécurité pendant potentiellement une décennie ou plus. Le rapport, publié jeudi par un comité d'examen de la cybersécurité (The Cyber Safety Review Board - CSRB) créé par le président américain Joe Biden, indique également que la faille de Log4j est l'une des vulnérabilités logicielles les plus graves de l'histoire et que, même s'il n'y a pas eu de signe de cyberattaque majeure due cet exploit, les entreprises auront du mal à s'en débarrasser.

Log4j est une bibliothèque logicielle utilitaire open source programmée en langage Java. Il enregistre les événements - erreurs et opérations de routine d'un système - et communique des messages de diagnostic à leur sujet aux administrateurs et aux utilisateurs du système. Le logiciel est fourni par l'Apache Software Foundation. Un exemple courant de Log4j au travail est lorsque vous tapez ou cliquez sur un mauvais lien Web et obtenez un message d'erreur 404. Le serveur qui gère le domaine de l'adresse Web que vous avez essayé d'atteindre vous indique qu'il n'existe pas une page Web de ce type.

Il enregistre également cet événement dans un journal destiné aux administrateurs système du serveur à l'aide de Log4j. Des messages de diagnostic similaires sont utilisés dans toutes les applications logicielles. Par exemple, dans le jeu en ligne Minecraft, Log4j est utilisé par le serveur pour enregistrer des activités telles que la mémoire totale utilisée et les commandes utilisateur tapées dans la console. Seulement, une faille découverte dans le logiciel fin 2021 permettrait aux attaquants de prendre facilement le contrôle de tout, des systèmes de contrôle industriels aux serveurs Web et aux appareils électroniques grand public.



Les premiers signes évidents de l'exploitation de la faille sont apparus dans Minecraft de Microsoft. La découverte de la faille a suscité des mises en garde urgentes de la part des responsables gouvernementaux et des efforts massifs de la part des professionnels de la cybersécurité pour corriger les systèmes vulnérables. Le CSRB a déclaré jeudi qu'à sa grande surprise, l'exploitation du bogue de Log4j s'était produite à des niveaux inférieurs à ceux prévus par les experts. « Log4j est l'une des failles logicielles les plus graves de l'histoire », a déclaré le président du comité, Rob Silvers, sous-secrétaire du ministère de la Sécurité intérieure (DHS).

Le comité a ajouté qu'il n'avait pas connaissance d'attaques "importantes" liées à la vulnérabilité de Log4j sur des systèmes d'infrastructures critiques, mais a noté que certaines cyberattaques ne sont pas signalées. Le groupe a allégué que de futures attaques sont probables, en grande partie parce que Log4j est couramment intégré à d'autres logiciels et qu'il peut être difficile pour les organisations de détecter son fonctionnement dans leurs systèmes. Selon les analystes, la bibliothèque Log4j est extrêmement populaire auprès des développeurs de logiciels commerciaux. « Cet événement n'est pas terminé », prévient Silvers.

Pour mémoire, un chercheur en sécurité d'Alibaba a informé la fondation le 24 novembre. Il a fallu deux semaines pour développer et publier un correctif. Les médias chinois ont rapporté que le gouvernement avait puni Alibaba pour ne pas avoir signalé la faille plus tôt aux responsables de l'État. Le comité a déclaré jeudi qu'il avait trouvé des "éléments troublants" dans la politique du gouvernement chinois en matière de divulgation des vulnérabilités, affirmant que cela pouvait donner aux pirates informatiques de l'État chinois un aperçu précoce des failles informatiques qu'ils pouvaient utiliser à des fins néfastes.

La vulnérabilité de Log4j peut être exploitée à distance pour permettre l'exécution de code sur les systèmes vulnérables et a reçu un score de gravité CVSS maximal de 10 sur 10. Selon le CSRB, ces groupes affiliés à l'État chinois pourraient exploiter ce type de failles pour voler des secrets commerciaux ou espionner les dissidents. Le gouvernement chinois a longtemps nié tout acte répréhensible dans le cyberespace et a déclaré qu'il encourageait un meilleur partage des informations sur les vulnérabilités des logiciels. Le CSRB est composé de 15 responsables de la cybersécurité issus du secteur privé et du gouvernement.

Le groupe d'experts a été chargé d'examiner les événements majeurs en matière de cybersécurité et de formuler des recommandations pour améliorer la cybersécurité des secteurs public et privé. Le rapport sur la vulnérabilité de Log4J est le premier publié par le CSRB depuis sa création par le président Biden en février 2022. Pour l'examen de la vulnérabilité de Log4j, le CSRB s'est entretenu avec près de 80 organisations pour comprendre comment la vulnérabilité a été ou est encore atténuée, afin d'élaborer des recommandations concrètes pour prévenir et répondre efficacement à de futurs incidents de ce type.



Le rapport du CSRB est divisé en trois sections, fournissant des informations factuelles sur la vulnérabilité et ce qui s'est passé, les résultats et les conclusions basés sur une analyse des faits, et une liste de recommandations. Les 19 recommandations exploitables sont réparties en quatre catégories : traiter les risques continus liés aux vulnérabilités du logiciel Log4j ; conduire les meilleures pratiques existantes en matière d'hygiène de sécurité ; construire un meilleur écosystème logiciel ; et les investissements dans l'avenir. Le groupe recommande également d'investir plus dans la formation d'expert en cybersécurité.

L'une des recommandations les plus importantes est de créer et de maintenir un inventaire précis des actifs informatiques, car les vulnérabilités ne peuvent être traitées si l'on ne sait pas où elles existent. Il est essentiel de disposer d'une nomenclature complète des logiciels (SBOM) qui inclut tous les composants logiciels tiers et les dépendances utilisés dans les solutions logicielles. L'un des plus gros problèmes pour traiter les vulnérabilités de Log4j est de comprendre quels produits ont été affectés. Le rapport recommande également aux entreprises de développer un programme de réponse aux vulnérabilités.

En outre, le CSRB conseille aux entreprises de mettre en place un processus de divulgation et de traitement des vulnérabilités, et suggère au gouvernement américain d'étudier la viabilité d'un centre d'excellence pour l'évaluation des risques de sécurité des logiciels. « Jamais auparavant les responsables informatiques de l'industrie et du gouvernement ne s'étaient réunis de cette manière pour examiner des incidents graves, identifier ce qui s'est passé et conseiller l'ensemble de la communauté sur la façon dont nous pouvons faire mieux à l'avenir », a déclaré Silvers la semaine dernière.

« Notre examen de Log4j a donné lieu à des recommandations qui, nous en sommes convaincus, peuvent conduire à des changements et améliorer la cybersécurité », a-t-il ajouté. Le décret de Biden demande également au comité de procéder à un examen de la campagne massive de cyberespionnage prétendument russe connue sous le nom de SolarWinds. Les pirates informatiques russes auraient réussi à pénétrer dans plusieurs agences fédérales, y compris dans des comptes appartenant à de hauts responsables de la cybersécurité du DHS, bien que les retombées de cette campagne ne soient pas encore claires.

Source : Rapport du Cyber Safety Review Board (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des conclusions du rapport du CSRB ?

Voir aussi

Deuxième vulnérabilité Log4j découverte : un correctif est déjà publié, le correctif de la première vulnérabilité étant « incomplet »

Log4j : une entreprise du Fortune 500 exige des réponses rapides et gratuites du créateur de cURL, qui leur a indiqué qu'il le ferait « dès que nous aurons signé un contrat de support »

L'exploitation de Log4Shell se poursuit : plus de 30 000 scans signalés en janvier, la vulnérabilité continue de représenter une vaste menace malgré le correctif publié par la Fondation Apache

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de damthemad
Membre actif https://www.developpez.com
Le 23/07/2022 à 10:31
L'exemple donné d'utilisation n'est pas très pertinent. Les erreurs 404 sont généralement gérées par un serveur http frontal et ne parviennent pas à la couche applicative qui fait usage de log4j. Apache, nginx, iis etc. ont leur propre mécanisme de journalisation.

Même si il reste très présent pour des raisons historiques, Log4j est en perte de vitesse depuis longtemps déjà et est largement supplanté par SLF4J + logback. Beaucoup de dev. Java moderne sont basés sur Spring et Spring Boot qui n'utilisent pas log4j par défaut.

Quand à l'exploitabilité de la faille, je reste dubitatif. Je n'ai pas vraiment creusé le sujet car j'étais en congés quand la faille est apparue au grand jour mais de mes souvenirs, il faut quand même une sacré conjonction de conditions. Par exemple où je travaille chaque appli est dans un subnet dédié avec un contrôle strict des flux en entrée et en sortie sont contrôlés, aucune chance que cette faille puisse être exploitée. Le mécanisme qui créé la faille n'est par ailleurs pas non plus des plus utilisés.

Enfin quand à la recommandation de tracer tous les éléments logiciels ça me fait bien marrer. Aujourd'hui le moindre projet java moderne, notamment si il est basé sur les frameworks les plus couramment utilisés, tire des dizaines et des dizaines, voire plus encore, de dépendances. Vouloir tracer et analyser ces dépendances transitives (a a une dépendance sur b qui en a une sur c et d, d en a une sur e etc.) est juste mission impossible sauf à cartographier tout l'écosystème open source qui est très riche sur la plateforme java. Ce genre de recommandation est purement théorique et hors sol.
2  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 18/07/2022 à 17:52
Les recommandations font preuve de bon sens mais ont-ils pensé à la cruelle pénurie de ressources pour les appliquer en dehors de la demande de formation ?
1  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 09/09/2022 à 13:47
Qu'en pensez-vous ?

" Les entreprises devraient également limiter l'accès aux systèmes et appliquer le principe du moindre privilège, et soutenir autant que possible les équipes de sécurité chargées de protéger et d'appliquer ces concepts. "

Le problème récurrent étant que l'organe de décision exprime chez beaucoup d'entreprises :
"on veut de la sécurité, mais hors de question de débourser autant, hors de question que la mise en oeuvre prends autant de temps ...on veut de la sécu à pas cher, parce qu'on a décidé que ce serait suffisant pour l'instant." ...le "après" étant éternellement reporté par la suite.

Ce qu'il faut est simple : former ses équipes de sécurité, leur permettre un temps pour la veille, et leur donner les pouvoirs (de décision) pour agir sur le plan technique afin d'atteindre leur but. C'est ce que j'ai constaté dans la plupart des entreprises jusqu'à aujourd'hui, qui n'est que trop rarement appliqué.
1  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 10/04/2024 à 19:05
Tellement peu standards que les hyperviseurs VMWare non patchés sont vulnérables, exemple le plus connu pour moi.
1  0 
Avatar de vdaburon
Membre à l'essai https://www.developpez.com
Le 10/04/2024 à 18:00
Bonjour,
Concernant les vulnérabilités de log4j1.2.x, j'ai regardé les conditions pour exploiter les vulnérabilités.
Il s'agit de vulnérabilité sur les appenders (système d'écriture des logs) très peu utilisés comme écrire les logs directement en base de données JDBX, ou envoyé dans des files de message JMS ou via des connexions réseaux distantes.

Si on fait des logs dans des fichiers locaux de façon beaucoup plus classique pas de problème.

Je ne dis pas que ces vulnérabilités ne sont pas graves, je dis qu'elles ne sont pas pour des cas standards d'utilisation.

Et donc dire qu'il y a 4 vulnérabilités et donc que le risque est important n'est pas vrai.

C'est juste pour relativiser l'article sur les dangers de ne pas changer de version des librairies ayants des vulnérabilités.
Cordialement
Vincent DAB.
0  0