Log4j, une «apocalypse Internet» dont tout le monde se fiche

En dehors des cercles des développeurs, Log4j ne dit rien à personne. A tel point que même une partie de ceux qui utilisent ce bout de code informatique – une «bibliothèque» du langage Java – n’ont pas conscience de la brèche découverte il y a maintenant cinq semaines. Et c’est bien le problème: le risque, c’est de ne pas se sentir concerné et ne pas faire les mises à jour qui corrigent la faille. Cette bibliothèque de programmes est intégrée dans les PC, smartphones, consoles de jeux et les objets connectés à internet en général. C’est l’un des programmes les plus utilisés du monde avec jusqu’à un milliard de téléchargements par an. En raison de la gravité, la faille de Log4j a reçu son propre nom. Elle s’appelle «Log4Shell».

Mais pour que nos lectrices et lecteurs saisissent l’étendue du problème, commençons par le début de l’histoire.

Il y a 25 ans, Ceki Gülcü, qui habite aujourd’hui à Vevey et qui possède sa propre société de conseil en logiciels, fait son mémoire de maîtrise en cryptographie dans le laboratoire de recherche d’IBM à Rüschlikon. Après ses études, il reste employé dans une équipe IBM qui s’occupe de dispositifs sécurisés. Il utilise le langage de programmation Java et développe avec deux autres personnes, Michael Steiner et le Dr. Asokan, un programme de journalisation (en Anglais un log) qui écrit ce qui se passe lorsqu’on utilise un logiciel. Le logiciel Log4j Version 1 est créé. Ceki Gülcü explique la fonctionnalité de Log4j en prenant l’exemple de la boite noire dans un avion qui enregistre les conversations des pilotes, la vitesse, la hauteur et tous les aspects techniques qu’on programme pour surveiller et contrôler le vol.

Le logiciel Log4j est en open-source. Les logiciels au code source ouvert, c’est-à-dire mis gratuitement à la disposition du grand public, qui répondent à des valeurs philosophiques et politiques de justice, ont la réputation d’être généralement sûrs, en raison même de leur transparence. On considère que «de nombreux yeux» veillent à détecter et à résoudre les éventuels problèmes.

En 2000, le programme a été officiellement donné à la fondation open-source Apache. Cette fondation à but non lucratif est composée de développeurs et contributeurs bénévoles. En 2006, Ceki Gülcü quitte le projet et développe ses propres logiciels, comme SLF4J ou LogBack, très connu et très apprécié dans le monde aujourd’hui.

La fondation Apache a lancé un remaniement complet en 2012 sous le nom Log4j Version 2. Une fonctionnalité spéciale est introduite: Log4j 2 va analyser et interpréter l’information avant que le contenu arrive dans le logiciel et va, dans les cas où c’est indiqué, consulter le site externe, télécharger et analyser cette information. Et c’est ici précisément que la faille a été découverte il y a plus d’un mois: un malfaiteur peut soumettre une chaîne de caractères — spécialement conçus — qui est journalisée par Log4j et qui pourrait ensuite exécuter du code arbitrairement, depuis une source externe. Autre possibilité: simplement figer l’ordinateur pour ensuite demander une rançon.

La découverte de la faille est exaltante et se lit comme un thriller. Nous l’avons ajoutée à la fin de l’article comme supplément. C’est Chen Zhaojun, membre de l’équipe Alibaba Cloud Security, qui a découvert la brèche. Il a informé les développeurs Log4j, la fondation Apache, et a rendu publique la vulnérabilité avec eux le 9 décembre 2021, ce qui a laissé suffisamment de temps aux développeurs pour réparer le problème, tester la réparation et mettre à disposition le correctif. Suite à une fuite sur une plateforme de blogs chinoise peu avant la publication, des discussions sur les détails de la faille se sont ouvertes, ce qui a renforcé l’inquiétude. Les hackers, eux, n’ont pas attendu: les premières attaques ransomwares ont été observées dès les premiers jours qui ont suivi la découverte.

A-t-on une idée des dégâts provoqués par cette faille?

La réponse à cette question est double.

Il y a, d’un côté, ce que l’on sait: il est établi que des géants comme la NASA, Twitter, Oracle ou Apple utilisent des programmes où la vulnérabilité Log4j est présente. Ainsi, iCloud – le service de stockage en ligne d’Apple – pourrait avoir été piraté grâce à cette faille. En théorie, Ingenuity, le petit hélicoptère que la NASA a envoyé sur Mars, est également vulnérable puisque certains logiciels utilisés pour communiquer avec lui depuis la Terre reposent sur Log4j. Les PME, les administrations et jusqu’aux particuliers ayant des serveurs privés à la maison sont aussi concernés et il faudra du temps pour connaître l’ampleur de la brèche. 

Ce qu’on sait aussi: le ministère belge de la Défense est la première victime connue d’une cyberattaque exploitant Log4Shell. Des mesures de précaution spectaculaires ont été prises, comme au Canada avec des fermetures préventives de serveurs du gouvernement, ou en Allemagne avec le géant Bosch, qui produit aussi des objets connectés et a reconnu être touché, mais sans donner plus de détails.

Et puis, il y a ce que l’on ne sait pas, parce que cette faille, tellement simple, avait peut-être déjà été découverte par des hackers qui l’auraient alors exploitée depuis longtemps, sans que personne ne s’en soit rendu compte. Rappelons que la version 2 a été lancée en 2012. Il n’est donc pas impossible que les malfaiteurs aient introduit des logiciels malveillants dans des systèmes informatiques et attendu avant de passer à l’action. Pour certains acteurs, il est plus intéressant d’avoir accès à des informations confidentielles plutôt que de se faire payer. On craint que la première vague d’attaques ne soit qu’un premier tremblement de terre avant que n’arrive un tsunami d’assauts plus importants.

Ce dernier mois, différentes grandes entreprises en Suisse se sont fait pirater. Les plus connues sont la maison d’édition Slatkine, DBS Group, Frey Emil Group. Mais d’autres entreprises, plus petites, subissent aussi une déferlante de cyberattaques inédite. Si ces piratages sont réellement dus à la faille Log4Shell, nous ne le saurons jamais.

Mais cela soulève une problématique supplémentaire: l’immense majorité des entreprises n’a pas d’assurance contre les cyber-risques. Certaines parce qu’elles ne se sentent pas concernées, mais elles sont de moins en moins nombreuses, d’autres parce qu’elles se croient «blindées» techniquement. D’autres n’y pensent tout simplement pas.

L’affaire Log4Shell sonne donc comme un signal d’alarme fracassant. Elle nous montre la fragilité de l’écosystème Internet qui est bâti sur d’immenses structures de plus en plus compliquées non seulement par l’équipement, mais aussi par les services et donc les logiciels. Aujourd’hui nous le savons clairement, aucun système informatique n’est sûr à 100%.

Un futur digital et démocratique à construire

Cette apocalypse informatique soulève l’importance que nous devons accorder au digital.

En tant qu’entreprise ou gouvernement, il faut avoir un plan d’urgence. Les mesures techniques seules ne suffiraient pas. Les entreprises et gouvernements devraient se préparer à continuer à travailler en cas de panne informatique. Il faut en outre préparer sa communication de crise.

Vous aussi, chères lectrices et chers lecteurs, vous êtes exposés à un vol d’identité, un piratage avec chantage à la clef. Chaque personne est responsable de la sécurité de son propre système informatique. Il faut donc faire ses devoirs, se former et s’informer au moins superficiellement¹.

Faites en sorte de connaître les bases de la protection de vos données chez vous: toutes les données sensibles doivent être stockées dans un élément déconnecté d’internet. Changez-en le mot de passe régulièrement, ainsi que celui de votre Wifi. Installez un mot de passe sur votre disque dur.

Le plus important reste le bon sens. Et de reconnaitre que ni la société, ni le gouvernement ne sont aujourd’hui prêts à une digitalisation accélérée. La thématique est transversale et touche tous les domaines. Avant que le gouvernement ne se lance dans «l’e-ID», le vote électronique et l’échange automatisé des données médicales, avant de faire une projection précise de l’avenir, nous devrions discuter ensemble, en tant que société, de l’avenir que nous voulons. Débattre ensemble du droit, de la sécurité et de la protection des données, de l’infrastructure, de l’open source, de la surveillance, de la souveraineté de nos données, la démocratie, la culture, le droit d’auteur. Et la censure doit être bien sûr intégrée aux discussions. Une participation citoyenne est souhaitable, voir grandement nécessaire.

La transition passe par nous et par vous, en première ligne: responsabilisons-nous en matière digitale, c’est urgent.

En complément: Log4Shell, un thriller actuel et bien réel 

Le 24 novembre dernier à 14h51, les membres d’un projet de logiciel open source reçoivent un e-mail alarmant. Son auteur menace de saper des années de programmation réalisées par un petit groupe de volontaires et de déclencher des cyber-attaques massives dans le monde entier.

«Je voudrais signaler une faille de sécurité», écrit Chen Zhaojun, un membre de l’équipe de sécurité du cloud d’Alibaba Group Holding Ltd, et il ajoute que «la faille a des conséquences importantes».

Le message décrivait comment un pirate pouvait exploiter Log4j, un outil logiciel très répandu, pour réaliser ce que l’on appelle une exécution de code à distance – un rêve pour les pirates, car ils peuvent de cette façon prendre le contrôle d’un ordinateur.

La nouvelle déclenche une course mondiale à la mise à jour des systèmes critiques, les hauts responsables américains de la cybersécurité qualifient la découverte de «menace importante». Si la faille n’est pas comblée, le logiciel peut permettre aux pirates d’accéder librement à d’innombrables systèmes informatiques. Mais en coulisses, un petit groupe s’est mis au travail pour réparer le logiciel défectueux. Après avoir reçu l’e-mail de Chen, les programmeurs bénévoles d’Apache ont aussitôt commencé à corriger la faille de sécurité avant que le reste du monde ne soit au courant du problème.

Mais le 8 décembre, l’équipe reçoit un autre e-mail de Chen, les informant que quelqu’un a publié les détails de la faille de sécurité sur une plateforme de blogs chinoise, accessible à l’ensemble d’nternet. «Certains groupes de discussion sur la sécurité de WeChat parlent déjà des détails de la vulnérabilité, et des chercheurs en sécurité l’ont identifiée», poursuit Chen. «Nous promettons de la garder secrète jusqu’à ce que votre version officielle soit publiée. S’il vous plaît, dépêchez-vous». 

A ce moment-là, les hackers ont déjà commencé à exploiter la faille, rendue publique par une personne sous pseudonyme et qui ne répond à aucun commentaire. Environ 20 heures plus tard, l’équipe d’Apache travaillant sur Log4j publie un «correctif» pour résoudre le problème.

Fin décembre, le régulateur chinois de l’Internet, le ministère de l’Industrie et des Technologies de l’information (MIIT), a temporairement suspendu un partenariat avec Alibaba Cloud, la filiale de cloud computing du géant du commerce électronique Alibaba Group, pendant six mois en raison du fait qu’il n’a pas informé rapidement le gouvernement au sujet d’une faille de sécurité critique affectant la bibliothèque de journalisation Log4j.

¹Nous allons traiter de sécurité digitale dans plusieurs articles à venir. En attendant, voici une bonne source pour se tenir informer en matière sécurité digitale et législation en Suisse: https://www.societe-numerique.ch

Amnesty International organise un Workshop «Rien à cacher? Protéger sa vie privée et celle des autres à l’ère du numérique» à Lausanne, détails ici.