Plus de mauvaises nouvelles ne pourraient pas arriver pour nous, utilisateurs qui utilisons quotidiennement le réseau et surtout pour certaines des plus grandes entreprises qui fondent leur activité et leurs services sur le réseau. Une vulnérabilité aussi répandue que dangereuse a été mise en lumière qui affecte de nombreux aspects d'Internet. La vulnérabilité est connue sous le nom de Log4Shell et a été découverte à la fin de la semaine dernière, lorsque plusieurs services et sites d'actualités Minecraft ont détecté la circulation d'un code malveillant , exploitant cette vulnérabilité zero-day. Au bout d'un moment on a compris que Minecraft n'était pas le seul objet d'attaque mais que la vulnérabilité affecte un grand nombre de services .

Des tests ont été effectués dans différents services cloud, dont certains très connus comme Apple et Cloudflare , ont été interrogés à l'aide de paramètres similaires à ceux fournis par les attaques sur les services Minecraft. Par la suite, les réponses du serveur ont été surveillées avec le domaine dnslog.cn , qui révèle s'il existe un service cloud dans la phase de recherche DNS. C'est exactement ce à quoi a abouti la surveillance, signe que les services acceptaient les connexions d'une machine contrôlée par ceux qui ont mené les attaques la semaine dernière. En règle générale, en effet, la saisie d'informations dans les cases réservées au nom d'utilisateur et au mot de passe ne doit permettre aucune connexion depuis des réseaux externes . Cela ne se produit pas précisément en raison de la présence de la vulnérabilité Log4Shell.

Techniquement, la vulnérabilité est inhérente à Log4j , un package de journalisation basé sur Java développé par Apache Software Foundation . Ce package est utilisé dans la grande majorité des services cloud , c'est pourquoi tant de fournisseurs mettent leurs données et celles de leurs utilisateurs en danger. La vulnérabilité est contenue entre les versions Log4j 2.0-beta-9 et 2.14.1 . Avec la version 2.15.0, cela a été corrigé. Dommage que pour rester en sécurité, tous les fournisseurs et fournisseurs devront mettre à jour Log4j vers cette dernière version.

Les conséquences de l'exploitation de cette vulnérabilité sont potentiellement catastrophiques pour les informations personnelles des utilisateurs et pour les serveurs d'entreprise vulnérables. Comme l'explique Thomas Reed , le directeur Mac & Mobile chez Malwarebytes, le vol des données personnelles des utilisateurs d'Apple a peut-être déjà eu lieu ou est actuellement en cours . Il en va de même pour les données propriétaires d'Apple stockées dans son infrastructure.

Clairement, le problème ne concerne pas seulement Apple et Minecraft , mais tous les services qui reposent sur Log4j. Il s'agit notamment d' Amazon , Steam , Tesla , Twitter , Baidu et Cloudflare . Ce dernier a fait savoir qu'il avait mis en place des protections de sécurité supplémentaires par défaut pour tous ses utilisateurs, y compris ceux qui n'ont pas souscrit à un forfait payant. Minecraft a également signalé avoir apporté des corrections . Reste à comprendre à quel point ils sont efficaces et robustes, nous reviendrons vous tenir au courant dès que des nouvelles apparaîtront.