Surnommée « Log4Shell », cette faille de sécurité permet à un attaquant d’exécuter du code informatique sur le serveur d’une entreprise. De nombreux chercheurs ont exprimé leur inquiétude.

Des experts en sécurité informatique ont alerté, vendredi 10 novembre, sur une importante vulnérabilité logicielle mettant en danger un grand nombre de serveurs (les ordinateurs qui hébergent des services et sites Web).

Baptisée « Log4Shell », cette faille de sécurité concerne plusieurs versions d’Apache, l’un des principaux logiciels utilisés pour faire fonctionner les serveurs. Plus précisément, la vulnérabilité découverte vient de Log4j, une librairie utilisée par le langage Java pour enregistrer des informations sur le serveur, comme des rapports d’erreur ou des données de connexion. Plusieurs experts ont découvert qu’il était possible d’envoyer au serveur un lien vers une page Web et de faire lire le contenu de cette page par la librairie. Si cette page contient du code en Java, il peut alors être exécuté sur le serveur.

Les vulnérabilités qui permettent de faire fonctionner du code informatique à distance sur une machine (remote code execution), comme Log4Shell, sont particulièrement dangereuses, car elles peuvent par exemple permettre à un attaquant de s’introduire sur un serveur.

Une mise à jour publiée

Selon le site spécialisé Bleeping Computer, cette vulnérabilité a été découverte et communiquée à Apache dès le 24 novembre par Chen Zhaojun, un expert de l’entreprise chinoise Alibaba. Un correctif a été publié par l’entreprise, mais c’est aux propriétaires des serveurs d’appliquer ensuite cette mise à jour pour empêcher un attaquant d’exploiter cette faille. L’alerte a également été sonnée par les CERT (pour computer emergency response team, des centres de veille chargés de surveiller en temps réel les menaces et failles logicielles) de plusieurs pays, dont la France.

La liste précise des services potentiellement vulnérables n’a pas encore été établie, mais des serveurs utilisés par iCloud, le service d’hébergement en ligne d’Apple, ainsi que le magasin de jeux vidéo Steam et le très populaire jeu Minecraft pourraient être concernés. Mojang, l’éditeur de Minecraft, a d’ores et déjà publié une alerte sur son site, invitant tous les propriétaires de serveurs à faire des mises à jour.

Aprnews avec Lemonde