Le 9 décembre 2021, l’éditeur Apache a signalé une faille de sécurité dans le composant logiciel de journalisation Log4J, très utilisé par de nombreuses applications utilisant Java. Log4j est une bibliothèque logicielle open source programmée en langage Java. Une vulnérabilité qui permet à un attaquant d’exécuter du code arbitraire à distance après avoir détourné une application qui utilise la bibliothèque log4j pour journaliser l’évènement.
La bibliothèque faillible est largement utilisée dans de nombreux systèmes d’information. Elle est susceptible dans les cas les plus défavorables de permettre à un attaquant de prendre le contrôle à distance de l’application visée, voire de la totalité du système d’information où elle est présente. Cette attaque peut être réalisée sans être authentifié, par exemple à partir d’une page d’authentification qui journalise les erreurs d’authentification par exemple.
L’ANSSI L’ANSSI recommande fortement aux développeurs et utilisateurs d’applications ou de logiciels basés sur la technologie Java/J2EE de consulter le bulletin d’alerte du CERT-FR, régulièrement mis à jour, et d’appliquer les mesures préconisées par les éditeurs de logiciel. En cas de doute sur la présence de Log4Shell dans une application tierce, l’ANSSI préconise de se tourner vers les éditeurs pour lever ce doute et, le cas échéant, mettre en œuvre les mesures de sécurité préconisées.
En outre, dans la perspective probable d’une exploitation rapide de cette faille par des cybercriminels pour mener des attaques par rançongiciel, l’ANSSI rappelle que disposer de sauvegardes à jour et conservées hors ligne reste une mesure essentielle de cybersécurité.
L’agence de la sécurité des systèmes d’information encourage en outre les utilisateurs « à s’approprier tous les réflexes nécessaires pour prévenir les cyberattaques et à se référer au guide Bonnes pratiques de l’informatique (tout public) et au guide d’hygiène informatique (administrateurs et utilisateurs expérimentés) ».
