Pourquoi la faille informatique Log4Shell suscite-t-elle tant d’inquiétudes ?

« La faille qui fait trembler tous les serveurs » ; « La faille de sécurité qui sème la panique sur internet » ; « Alerte rouge écarlate sur une faille informatique de «niveau systémique» »… Sites spécialisés ou presse généraliste, les titres pour qualifier la faille informatique largement découverte en fin de semaine dernière (jeudi 9 décembre 2021) ne sont pas très rassurants. Cette faille informatique qui inquiète partout dans le monde a un nom : « Log4Shell ». De quoi s’agit-il ? Qui et quoi peut-elle mettre en péril ? 

Guillaume Erner reçoit Daniel Glazman, ingénieur principal chez Dashlane, gestionnaire de mots de passe. 

Ce qu'est la faille « Log4Shell »

Il faut d'abord expliquer ce qu'est cette faille Log4Shell ; en quoi consiste-t-elle ?

C'est le nom de la faille, mais pas du produit qui contient la faille. Le nom de ce produit, c'est Lock4J. C'est un petit code informatique libre, qui a vingt ans, dans lequel on vient de découvrir une faille.

C'est un petit outil de journalisation. La journalisation, c'est comme lorsqu'on tient son journal intime : on entre des messages dans un fichier. Or là, une faille permet de passer dans le message un ordre qui va corrompre le système et prendre la main sur lui.

Les risques

Concrètement, qu'est-ce qui pourrait se passer si quelqu'un profitait de cette faille ? Car il faudrait donc qu'un acteur malveillant tente de la mettre à profit.

Cette personne pourrait tout simplement prendre la main sur un serveur distant, et donc avoir accès à absolument tout. C'est une faille majeure car cette petite brique de journalisation est utilisée dans de très nombreux logiciels. Ces derniers sont maintenant en état de panique pour se mettre à jour.

Les outils concernés

Par exemple, quels sont les outils qu'il faudrait avoir pour être concerné par cette faille ?

Un serveur de type Java Entreprise. C'est un serveur de données que vous mettez à l'autre bout du réseau : quand vous accédez à Internet depuis votre machine, vous pouvez accéder à un service maintenu par qui que ce soit à l'autre bout du réseau qui utilise une technologie Java.

Donc cela ne concerne pas ceux qui ont un ordinateur chez eux, puisque généralement ils n'utilisent pas de serveur Java ?

C'est exact. Mais comme ça va concerner les acteurs des serveurs que vous utilisez en ligne, ça peut finir par vous concerner, et vos informations sont peut-être à risque.

Les premières tentatives d'utiliser la faille

Sait-on si des pirates ont déjà mis cette faille à profit ?

Ce que l'on sait, c'est que depuis vendredi, les acteurs de l'Internet notent de nombreuses tentatives de l'utiliser. On ne sait pas encore trop si c'est de l'exploitation réelle ou si ce sont des acteurs de l'Internet qui naviguent tous azimuts pour vérifier quels sont les sites et les services qui seraient immunes ou pas à la faille. Il va falloir attendre pour en savoir plus. Maintenant, ce genre de failles est relativement aisé à découvrir, et je ne serais pas surpris que des grands acteurs étatiques l'aient découverte il y a longtemps.

Vous pouvez écouter l'interview en intégralité en cliquant sur le player en haut à gauche de cette page.