La faille du logiciel Log4j est “endémique”, selon un nouveau panel de cybersécurité

La faille du logiciel Log4j est

Le logo du Department of Homeland Security est visible lors d’une conférence de presse à Washington, le 25 février 2015. Un nouveau panel de cybersécurité créé par le président Joe Biden affirme qu’une vulnérabilité informatique découverte l’année dernière dans un logiciel omniprésent est un problème “endémique” qui posera des risques pour la sécurité pendant une décennie ou plus. Le Cyber ​​​​Safety Review Board a déclaré jeudi dans un nouveau rapport que bien qu’il n’y ait eu aucun signe de cyberattaque majeure en raison de la faille Log4j, elle “sera toujours exploitée pendant des années”. La faille Log4j a été rendue publique pour la première fois à la fin de l’année dernière. Crédit : AP Photo/Pablo Martinez Monsivais, Fichier

Une vulnérabilité informatique découverte l’année dernière dans un logiciel omniprésent est un problème “endémique” qui posera des risques de sécurité pendant potentiellement une décennie ou plus, selon un nouveau panel de cybersécurité créé par le président Joe Biden.

Le Cyber ​​​​Safety Review Board a déclaré jeudi dans un rapport que bien qu’il n’y ait eu aucun signe de cyberattaque majeure en raison de la faille Log4j, elle “sera toujours exploitée pendant des années”.

“Log4j est l’une des vulnérabilités logicielles les plus graves de l’histoire”, a déclaré mercredi à la presse le président du conseil d’administration, le sous-secrétaire du département de la Sécurité intérieure, Rob Silvers.

La faille Log4j, rendue publique à la fin de l’année dernière, permet aux attaquants basés sur Internet de prendre facilement le contrôle de tout, des systèmes de contrôle industriels aux serveurs Web et à l’électronique grand public. Les premiers signes évidents de l’exploitation de la faille sont apparus dans Minecraft, un jeu en ligne extrêmement populaire appartenant à Microsoft.

La découverte de la faille a déclenché des avertissements urgents de la part des responsables gouvernementaux et des efforts massifs de la part des professionnels de la cybersécurité pour corriger les systèmes vulnérables.

Le conseil d’administration a déclaré jeudi que “de manière quelque peu surprenante”, l’exploitation du bogue Log4j s’était produite à des niveaux inférieurs à ceux prévus par les experts. Le conseil a également déclaré qu’il n’était au courant d’aucune attaque Log4j “significative” sur des systèmes d’infrastructure critiques, mais a noté que certaines cyberattaques ne sont pas signalées.

Le conseil a déclaré que les futures attaques sont probables en grande partie parce que Log4j est régulièrement intégré à d’autres logiciels et peut être difficile à trouver pour les organisations en cours d’exécution dans leurs systèmes.

“Cet événement n’est pas terminé”, a déclaré Silvers.

Log4j, écrit dans le langage de programmation Java, enregistre l’activité des utilisateurs sur les ordinateurs. Développé et maintenu par une poignée de bénévoles sous les auspices de l’Apache Software Foundation open-source, il est extrêmement populaire auprès des développeurs de logiciels commerciaux.

Un chercheur en sécurité du géant chinois de la technologie Alibaba a notifié la fondation le 24 novembre. Il a fallu deux semaines pour développer et publier un correctif. Les médias chinois ont rapporté que le gouvernement avait puni Alibaba pour ne pas avoir signalé la faille plus tôt aux responsables de l’État.

Le conseil d’administration a déclaré jeudi qu’il avait trouvé des “éléments troublants” dans la politique du gouvernement chinois en matière de divulgation des vulnérabilités, affirmant que cela pourrait donner aux pirates informatiques chinois un aperçu précoce des failles informatiques qu’ils pourraient utiliser à des fins néfastes comme voler des secrets commerciaux ou espionner des dissidents. Le gouvernement chinois a longtemps nié les actes répréhensibles dans le cyberespace et a déclaré au conseil d’administration qu’il encourageait un meilleur partage d’informations sur les vulnérabilités des logiciels.

Le conseil a proposé un certain nombre de recommandations sur l’atténuation des retombées de la faille Log4j ainsi que sur l’amélioration de la cybersécurité en général. Cela inclut la suggestion que les universités et les collèges communautaires fassent de la formation en cybersécurité une partie obligatoire des programmes de diplôme et de certification en informatique.

Le Cyber ​​​​Safety Review Board est calqué sur le National Transportation Safety Board, qui examine les accidents d’avion et autres accidents majeurs, et a été mandaté par un décret exécutif signé par Biden en mai dernier. Le conseil d’administration de 15 membres est composé du FBI, de l’Agence de sécurité nationale et d’autres responsables gouvernementaux ainsi que de personnes du secteur privé. Certains partisans du nouveau conseil ont critiqué le DHS pour avoir mis si longtemps à le mettre en place et à le faire fonctionner.

Le décret de Biden a ordonné au conseil d’administration de mener son premier examen de la campagne massive de cyberespionnage russe connue sous le nom de SolarWinds. Les pirates russes ont pu violer plusieurs agences fédérales, y compris des comptes appartenant à de hauts responsables de la cybersécurité au DHS, bien que les retombées complètes de cette campagne ne soient toujours pas claires.

Silvers a déclaré que le DHS et la Maison Blanche ont convenu que l’examen de la faille Log4j constituait une meilleure utilisation de l’expertise et du temps du nouveau conseil.


Le DHS annonce la création d’un nouveau comité d’examen de la cybersécurité


© 2022 L’Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation.

Citation: La faille logicielle Log4j est “endémique”, selon un nouveau panneau sur la cybersécurité (2022, 14 juillet) récupéré le 14 juillet 2022 sur https://techxplore.com/news/2022-07-log4j-software-flaw-endemic-cyber.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.