Depuis quelques jours déjà, une faille informatique sème la panique sur Internet et au sein de milliers d’entreprises. Son nom de code : Log4Shell. Même si des correctifs existent pour la contrer, cette vulnérabilité est la porte ouverte aux attaques de cybercriminels.

 

Log4-quoi ?

Log4Shell est ce qu’on appelle une attaque de type zero-day. Cela signifie qu’elle n’avait pas été identifié par ses victimes, qu’elle n’avait pas de correctif avant sa découverte. En revanche, les cybercriminels ont certainement pu en prendre connaissance avant l’application des correctifs afin d’en profiter ?

Cette vulnérabilité se situe dans une bibliothèque logicielle de Java, nommée Log4j, servant à enregistrer l’historique d’une application. Or, celle-ci est utilisée par de nombreuses applications programmées en langage Java (logiciels bureautiques, serveurs, systèmes embarqués…)

 

Et concrètement, quels sont les risques ?

Les cybercriminels se servent de cette faille afin de rentrer sur une application ou un appareil ?

En forçant le téléchargement d’un logiciel malveillant, ils en prennent le contrôle pour commettre leur méfait (vol de données, minage de cryptomonnaie, déploiement d’un rançongiciel)

 

Super super… mais qui est concerné par cette faille ?

Toutes les entreprises et organisations utilisant la bibliothèque Log4j, ainsi que leurs clients. Comme vu plus haut, Log4j est utilisé dans beaucoup de suites logicielles et de projets open-source. En tout, on estime à plus de 3 milliards le nombre d’appareils utilisant cette bibliothèque ?

 

Ok, très bien ! Et comment les entreprises peuvent se protéger ?

? Le premier réflexe est d’identifier les applications et appareils utilisant Log4j et de les mettre à niveau en appliquant les correctifs nécessaires.

C’est pourquoi nous travaillons avec nos partenaires éditeurs et constructeurs afin de limiter les risques pour nos clients. Certains d’entre eux ont déjà déployé les correctifs nécessaires, les autres sont en cours d’actions. Dans le cadre de notre métier de gestion d’infrastructures, nous suivons activement les évolutions afin de remédier à cette faille.

Nous vous recommandons également de vous rapprocher des prestataires qui gèrent vos sites web et applications métiers.

 

Pour toute question relative à la faille Log4Shell, nos équipes restent à votre disposition au

? 02 72 64 16 30 ?