Qu'est-ce que "Log4Shell", la faille de sécurité informatique qui fait trembler le web ? – LaDepeche.fr

XtremWebSite
Réalisation site web - Référencement

l’essentiel Des experts en cybersécurité viennent de révéler une faille de sécurité qui sème la panique sur le Web. Baptisée « Log4Shell », cette vulnérabilité permet de prendre très facilement le contrôle des machines. 
Après le bug de l'an 2000, le bug de l'an 2022 ? Récemment, des experts en cybersécurité viennent de découvrir une faille de sécurité qui sème la panique sur le Web. Baptisée « Log4Shell », elle concerne Log4j, un outil massivement utilisé dans des applications et des services Web.
C'est Chen Zhaojun, un expert au sein de l’entreprise Alibaba, géant de la distribution en Chine, qui a été le premier à tirer la sonnette d'alarme le 24 novembre. Relativement "facile" à exploiter, elle peut donner lieu à une prise en main totale des serveurs concernés. Les failles sont notées de 0 à 10, selon leur caractère critique ou pas. Et "Log4Shell" est à 10.
La faille informatique est incluse dans Log4j, un ensemble de fonctions utilitaires principalement utilisé pour s’assurer qu’un logiciel fonctionne correctement. "Log4j est un module utilisé par le célèbre langage de programmation informatique Java, disponible gratuitement sur le site Github grâce à une poignée de bénévoles qui la mettent régulièrement à jour depuis le début des années 2000", explique Pablo Maillé sur le site UsbeketRica. En open source, il est omniprésent dans un très grand nombre d'applications et services logiciels partout dans le monde. Parmi lesquels ceux de Twitter, Amazon, Microsoft ou Minecraft.
Dans certaines versions de Log4j, la faille permet de prendre très facilement le contrôle de la machine qui l'héberge. «Un étudiant en première année d'informatique, qui a les outils de base pour développer un site web, est capable d'exploiter cette faille», indique Loïc Guézo, secrétaire général du Clusif, une association française de spécialistes de cybersécurité. À tel point que des hackers ont pu s'introduire au ministère de la Défense belge dans la nuit de dimanche 19 décembre à lundi 20 décembre. Certains sites gouvernementaux canadiens ont même dû être fermés par mesure de sécurité. En Allemagne, Bosch a aussi reconnu être touché.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis s'attend à ce que la faille soit "largement exploitée" par des acteurs malveillants et que des "centaines de millions" d'appareils pourraient être affectés.
Le 16 décembre, c'est autour de l'Agence nationale de la sécurité des systèmes d'information (Anssi) de lancer l'alerte. Cette dernière a souligné que la faille "Log4Shell" était "désormais activement exploitée de manière malveillante par des attaquants". Des craintes malheureusement fondées. Selon le spécialiste en cybersécurité Check Point, 40 % des réseaux mondiaux avaient subi une tentative d'exploitation la semaine dernière.
D'après des experts en cybersécurité, certains piratent utilisent d'ailleurs cette faille pour installer des « cryptominers », des logiciels utilisés pour obtenir des cryptomonnaies. Des « botnets », de vastes réseaux de machines vérolées pouvant être utilisées pour mener des attaques, se servent également de Log4j pour infecter de nouvelles machines, explique Le Monde
En quinze jours, la fondation Apache a dû publier trois correctifs pour tenter de corriger cette faille. La mise à jour des outils utilisés par les entreprises et les administrations reste indispensable pour assurer la sécurité des systèmes… mais le processus peut prendre du temps. L'Anssi leur recommande ainsi de mener un travail d’inventaire pour mesurer leur vulnérabilité de leurs systèmes et de procéder "d’urgence" aux mises à jour de sécurité.
Parmi les autres conseils de l'agence : suivre les recommandations du bulletin d'alerte du CERT-FR, se tourner vers les éditeurs de logiciels en cas de doute sur la présence de la faille "Log4Shell", et disposer de sauvegardes à jour et conservées hors ligne pour contrecarrer une éventuelle attaque par ransomware, explique LesNumeriques. 
J’ai déjà un compte
Je n’ai pas de compte
Vous souhaitez suivre ce fil de discussion ?
Souhaitez-vous recevoir une notification lors de la réponse d’un(e) internaute à votre commentaire ?
Ok mais log4j n'a rien à voir avec le web lui-meme. Ça permet de journaliser des événements d'un programme, généralement dans un fichier lisible. Une application bureautique peut très bien inclure log4j.

Et il n'y a pas que log4j. Quand on code bien on peut passer de l'un à n'importe-quel autre.
Heureusement que les chinois nous ont averti et que cette fois-ci nous avons écouté 🙂

source

Nous vous proposons de l'information

Xtremwebsite réalisation de site web avec ou sans engagement.

Articles récents

Suivez-nous

Vous voulez plus d'infos

Indiquer votre email 

google partner xtremwebsite
google adsence xtremwebsite
google analytics xtremwebsite
google-mybusiness xtremwebsite

Tout d’abord la page est mise en ligne à des fins d’information du public et en vue d’informer les clients. Par ailleurs elle est régulièrement mise à jour, dans la mesure du possible.
Néanmoins en raison de l’évolution permanente de la législation en vigueur, nous ne pouvons toutefois pas garantir son application actuelle. Nous vous invitons toutefois à nous interroger pour toute question ou problème concernant le thème évoqué au 07 81 19 33 22. Cependant en aucun cas Xtremwebsite ne pourra être tenu responsable de l’inexactitude et de l’obsolescence des articles du site.  xtremwebsite cout site internet création site internet  site internet pour avocat  création site vitrine {service} à {ville(Ville)}< /span>