Une partie de ses activités sont paralysées depuis le 16 décembre par des pirates ayant mis à profit « Log4shell », une des failles de sécurité les plus importantes de ces dernières années. Les experts en sécurité informatique avaient raison de redouter la faille de sécurité Log4Shell, rendue publique le 10 décembre. Six jours plus tard, des pirates ont profité de cette vulnérabilité pour paralyser une partie des réseaux informatiques du ministère belge de la défense, comme l’a déclaré mardi 21 décembre à l’Agence France-Presse (AFP) un porte-parole de l’armée, le commandant Olivier Séverin, confirmant des informations de l’agence de presse Belga.
« Des mesures de quarantaine » ont rapidement été décidées pour « circonscrire les éléments infectés (…). Les analyses et les restaurations sont toujours en cours », a-t-il précisé, sans donner plus d’informations quant à l’auteur de la cyberattaque.
La faille Log4Shell touche une bibliothèque Java baptisée Log4j, un petit module issu de la fondation Apache repris dans de très nombreux logiciels pour des fonctions de « journalisation », c’est-à-dire de relevé de « logs » (événements survenus sur le système). Dans certaines versions de Log4j, la faille permet de prendre très facilement le contrôle de la machine qui l’héberge. Le pirate peut alors essayer de circuler dans le réseau informatique de la victime et y déployer rançongiciels et outils d’espionnage.
Un pansement insuffisamment appliqué
Les failles sont monnaie courante dans le monde de l’informatique professionnelle, mais Log4Shell suscite des craintes particulières, car elle semble facile à exploiter et touche un grand nombre de serveurs, ces ordinateurs qui fournissent nos services en ligne. Cette faille peut être corrigée : un pansement informatique est disponible depuis le jour même de son annonce publique. Mais l’appliquer sur tous les ordinateurs potentiellement affectés prend du temps. Certains responsables informatiques manquent de réactivité, d’autres n’ont pas conscience que leurs serveurs sont touchés. Les pirates, eux, mettent à profit le temps qui leur est offert pour scanner les réseaux informatiques des entreprises et des institutions, à la recherche de serveurs faillibles dont ils pourraient prendre le contrôle.
A ce jour, aucune institution ou entreprise d’envergure mondiale n’a été la cible de pirates exploitant cette faille, selon les experts américains en cybersécurité. Jusqu’à présent, les experts avaient surtout observé des pirates qui exploitaient cette brèche pour installer des usines à cryptomonnaies – ou cryptominers – sur des serveurs mal protégés.
Néanmoins, de nouvelles annonces publiques ne sont pas à exclure au cours des prochaines semaines. La firme américaine de cybersécurité Tenable a déclaré à l’AFP qu’il s’agit, selon elle, « de la plus grande et la plus critique des vulnérabilités de la dernière décennie ». Au cours d’une conférence de presse, Guillaume Poupard, le directeur général de l’Agence nationale de sécurité de système d’information (Anssi) a jugé que cette faille promettait « des fêtes de fin d’année un peu pénibles pour beaucoup d’experts ».
Avec Le Monde
