Log4j, une «apocalypse Internet» dont tout le monde se fiche
En dehors des cercles des développeurs, Log4j ne dit rien à personne. A tel point que même une partie de ceux qui utilisent ce bout de code informatique – une «bibliothèque» du langage Java – n’ont pas conscience de la brèche découverte il y a maintenant cinq semaines. Et c’est bien le problème: le risque, c’est de ne pas se sentir concerné et ne pas faire les mises à jour qui corrigent la faille. Cette bibliothèque de programmes est intégrée dans les PC, smartphones, consoles de jeux et les objets connectés à internet en général. C’est l’un des programmes les plus utilisés du monde avec jusqu’à un milliard de téléchargements par an. En raison de la gravité, la faille de Log4j a reçu son propre nom. Elle s’appelle «Log4Shell».
Mais pour que nos lectrices et lecteurs saisissent l’étendue du problème, commençons par le début de l’histoire.
Il y a 25 ans, Ceki Gülcü, qui habite aujourd’hui à Vevey et qui possède sa propre société de conseil en logiciels, fait son mémoire de maîtrise en cryptographie dans le laboratoire de recherche d’IBM à Rüschlikon. Après ses études, il reste employé dans une équipe IBM qui s’occupe de dispositifs sécurisés. Il utilise le langage de programmation Java et développe avec deux autres personnes, Michael Steiner et le Dr. Asokan, un programme de journalisation (en Anglais un log) qui écrit ce qui se passe lorsqu’on utilise un logiciel. Le logiciel Log4j Version 1 est créé. Ceki Gülcü explique la fonctionnalité de Log4j en prenant l’exemple de la boite noire dans un avion qui enregistre les conversations des pilotes, la vitesse, la hauteur et tous les aspects techniques qu’on programme pour surveiller et contrôler le vol.
Le logiciel Log4j est en open-source. Les logiciels au code source ouvert, c’est-à-dire mis gratuitement à la disposition du grand public, qui répondent à des valeurs philosophiques et politiques de justice, ont la réputation d’être généralement sûrs, en raison même de leur transparence. On considère que «de nombreux yeux» veillent à détecter et à résoudre les éventuels problèmes.
En 2000, le programme a été officiellement donné à la fondation open-source Apache. Cette fondation à but non lucratif est composée de développeurs et contributeurs bénévoles. En 2006, Ceki Gülcü quitte le projet et développe ses propres logiciels, comme SLF4J ou LogBack, très connu et très apprécié dans le monde aujourd’hui.
La fondation Apache a lancé un remaniement complet en 2012 sous le nom Log4j Version 2. Une fonctionnalité spéciale est introduite: Log4j 2 va analyser et interpréter l’information avant que le contenu arrive dans le logiciel et va, dans les cas où c’est indiqué, consulter le site externe, télécharger et analyser cette information. Et c’est ici précisément que la faille a été découverte il y a plus d’un mois: un malfaiteur peut soumettre une chaîne de caractères — spécialement conçus — qui est journalisée par Log4j et qui pourrait ensuite exécuter du code arbitrairement, depuis une source externe. Autre possibilité: simplement figer l’ordinateur pour ensuite demander une rançon.
La découverte de la faille est exaltante et se lit comme un thriller. Nous l’avons ajoutée à la fin de l’article comme supplément. C’est Chen Zhaojun, membre de l’équipe Alibaba Cloud Security, qui a découvert la brèche. Il a informé les développeurs Log4j, la fondation Apache, et a rendu publique la vulnérabilité avec eux le 9 décembre 2021, ce qui a laissé suffisamment de temps aux développeurs pour réparer le problème, tester la réparation et mettre à disposition le correctif. Suite à une fuite sur une plateforme de blogs chinoise peu avant la publication, des discussions sur les détails de la faille se sont ouvertes, ce qui a renforcé l’inquiétude. Les hackers, eux, n’ont pas attendu: les premières attaques ransomwares ont été observées dès les premiers jours qui ont suivi la découverte.
A-t-on une idée des dégâts provoqués par cette faille?
La réponse à cette question est double.
Il y a, d’un côté, ce que l’on sait: il est établi que des géants comme la NASA, Twitter, Oracle ou Apple utilisent des programmes où la vulnérabilité Log4j est présente. Ainsi, iCloud – le service de stockage en ligne d’Apple – pourrait avoir été piraté grâce à cette faille. En théorie, Ingenuity, le petit hélicoptère que la NASA a envoyé sur Mars, est également vulnérable puisque certains logiciels utilisés pour communiquer avec lui depuis la Terre reposent sur Log4j. Les PME, les administrations et jusqu’aux particuliers ayant des serveurs privés à la maison sont aussi concernés et il faudra du temps pour connaître l’ampleur de la brèche.
Ce qu’on sait aussi: le ministère belge de la Défense est la première victime connue d’une cyberattaque exploitant Log4Shell. Des mesures de précaution spectaculaires ont été prises, comme au Canada avec des fermetures préventives de serveurs du gouvernement, ou en Allemagne avec le géant Bosch, qui produit aussi des objets connectés et a reconnu être touché, mais sans donner plus de détails.
Et puis, il y a ce que l’on ne sait pas, parce que cette faille, tellement simple, avait peut-être déjà été découverte par des hackers qui l’auraient alors exploitée depuis longtemps, sans que personne ne s’en soit rendu compte. Rappelons que la version 2 a été lancée en 2012. Il n’est donc pas impossible que les malfaiteurs aient introduit des logiciels malveillants dans des systèmes informatiques et attendu avant de passer à l’action. Pour certains acteurs, il est plus intéressant d’avoir accès à des informations confidentielles plutôt que de se faire payer. On craint que la première vague d’attaques ne soit qu’un premier tremblement de terre avant que n’arrive un tsunami d’assauts plus importants.
Ce dernier mois, différentes grandes entreprises en Suisse se sont fait pirater. Les plus connues sont la maison d’édition Slatkine, DBS Group, Frey Emil Group. Mais d’autres entreprises, plus petites, subissent aussi une déferlante de cyberattaques inédite. Si ces piratages sont réellement dus à la faille Log4Shell, nous ne le saurons jamais.
Mais cela soulève une problématique supplémentaire: l’immense majorité des entreprises n’a pas d’assurance contre les cyber-risques. Certaines parce qu’elles ne se sentent pas concernées, mais elles sont de moins en moins nombreuses, d’autres parce qu’elles se croient «blindées» techniquement. D’autres n’y pensent tout simplement pas.
L’affaire Log4Shell sonne donc comme un signal d’alarme fracassant. Elle nous montre la fragilité de l’écosystème Internet qui est bâti sur d’immenses structures de plus en plus compliquées non seulement par l’équipement, mais aussi par les services et donc les logiciels. Aujourd’hui nous le savons clairement, aucun système informatique n’est sûr à 100%.
Un futur digital et démocratique à construire
Cette apocalypse informatique soulève l’importance que nous devons accorder au digital.
En tant qu’entreprise ou gouvernement, il faut avoir un plan d’urgence. Les mesures techniques seules ne suffiraient pas. Les entreprises et gouvernements devraient se préparer à continuer à travailler en cas de panne informatique. Il faut en outre préparer sa communication de crise.
Vous aussi, chères lectrices et chers lecteurs, vous êtes exposés à un vol d’identité, un piratage avec chantage à la clef. Chaque personne est responsable de la sécurité de son propre système informatique. Il faut donc faire ses devoirs, se former et s’informer au moins superficiellement1.
Faites en sorte de connaître les bases de la protection de vos données chez vous: toutes les données sensibles doivent être stockées dans un élément déconnecté d’internet. Changez-en le mot de passe régulièrement, ainsi que celui de votre Wifi. Installez un mot de passe sur votre disque dur.
Le plus important reste le bon sens. Et de reconnaitre que ni la société, ni le gouvernement ne sont aujourd’hui prêts à une digitalisation accélérée. La thématique est transversale et touche tous les domaines. Avant que le gouvernement ne se lance dans «l’e-ID», le vote électronique et l’échange automatisé des données médicales, avant de faire une projection précise de l’avenir, nous devrions discuter ensemble, en tant que société, de l’avenir que nous voulons. Débattre ensemble du droit, de la sécurité et de la protection des données, de l’infrastructure, de l’open source, de la surveillance, de la souveraineté de nos données, la démocratie, la culture, le droit d’auteur. Et la censure doit être bien sûr intégrée aux discussions. Une participation citoyenne est souhaitable, voir grandement nécessaire.
La transition passe par nous et par vous, en première ligne: responsabilisons-nous en matière digitale, c’est urgent.
En complément: Log4Shell, un thriller actuel et bien réel
Le 24 novembre dernier à 14h51, les membres d’un projet de logiciel open source reçoivent un e-mail alarmant. Son auteur menace de saper des années de programmation réalisées par un petit groupe de volontaires et de déclencher des cyber-attaques massives dans le monde entier.
«Je voudrais signaler une faille de sécurité», écrit Chen Zhaojun, un membre de l’équipe de sécurité du cloud d’Alibaba Group Holding Ltd, et il ajoute que «la faille a des conséquences importantes».
Le message décrivait comment un pirate pouvait exploiter Log4j, un outil logiciel très répandu, pour réaliser ce que l’on appelle une exécution de code à distance – un rêve pour les pirates, car ils peuvent de cette façon prendre le contrôle d’un ordinateur.
La nouvelle déclenche une course mondiale à la mise à jour des systèmes critiques, les hauts responsables américains de la cybersécurité qualifient la découverte de «menace importante». Si la faille n’est pas comblée, le logiciel peut permettre aux pirates d’accéder librement à d’innombrables systèmes informatiques. Mais en coulisses, un petit groupe s’est mis au travail pour réparer le logiciel défectueux. Après avoir reçu l’e-mail de Chen, les programmeurs bénévoles d’Apache ont aussitôt commencé à corriger la faille de sécurité avant que le reste du monde ne soit au courant du problème.
Mais le 8 décembre, l’équipe reçoit un autre e-mail de Chen, les informant que quelqu’un a publié les détails de la faille de sécurité sur une plateforme de blogs chinoise, accessible à l’ensemble d’nternet. «Certains groupes de discussion sur la sécurité de WeChat parlent déjà des détails de la vulnérabilité, et des chercheurs en sécurité l’ont identifiée», poursuit Chen. «Nous promettons de la garder secrète jusqu’à ce que votre version officielle soit publiée. S’il vous plaît, dépêchez-vous».
A ce moment-là, les hackers ont déjà commencé à exploiter la faille, rendue publique par une personne sous pseudonyme et qui ne répond à aucun commentaire. Environ 20 heures plus tard, l’équipe d’Apache travaillant sur Log4j publie un «correctif» pour résoudre le problème.
Fin décembre, le régulateur chinois de l’Internet, le ministère de l’Industrie et des Technologies de l’information (MIIT), a temporairement suspendu un partenariat avec Alibaba Cloud, la filiale de cloud computing du géant du commerce électronique Alibaba Group, pendant six mois en raison du fait qu’il n’a pas informé rapidement le gouvernement au sujet d’une faille de sécurité critique affectant la bibliothèque de journalisation Log4j.
1Nous allons traiter de sécurité digitale dans plusieurs articles à venir. En attendant, voici une bonne source pour se tenir informer en matière sécurité digitale et législation en Suisse: https://www.societe-numerique.ch
Amnesty International organise un Workshop «Rien à cacher? Protéger sa vie privée et celle des autres à l’ère du numérique» à Lausanne, détails ici.
À lire aussi
Numérique: quand les failles deviennent des menaces
Entre vols de voitures facilités par l’électronique, cyberattaques d’aéroports européens et fuite présumée de données d’état civil en France, trois faits récents rappellent notre dépendance au numérique et les vulnérabilités qu’il crée.
Facture électronique obligatoire: l’UE construit son crédit social chinois
Le 1er janvier 2026, la Belgique deviendra l’un des premiers pays de l’UE à mettre en place l’obligation de facturation électronique imposée à toutes les entreprises privées par la Commission européenne. Il s’agit d’une atteinte majeure aux libertés économiques et au principe de dignité humaine, soutenu par l’autonomie individuelle. Outre (...)
Superintelligence américaine contre intelligence pratique chinoise
Alors que les États-Unis investissent des centaines de milliards dans une hypothétique superintelligence, la Chine avance pas à pas avec des applications concrètes et bon marché. Deux stratégies opposées qui pourraient décider de la domination mondiale dans l’intelligence artificielle.
L’identité numérique, miracle ou mirage?
Le 28 septembre, les Suisses se prononceront à nouveau sur l’identité numérique (e-ID). Cette fois, le Conseil fédéral revient avec une version révisée, baptisée «swiyu», présentée comme une solution étatique garantissant la souveraineté des données. Mais ce projet, déjà bien avancé, suscite des inquiétudes quant à son coût, sa gestion, (...)
IA: faut-il l’adorer, la détester ou en profiter?
Ils pleuvent, ils pleuvent, les milliards… Trump en promet 500, Macron 109, von der Leyen 200! Puisés on ne sait où mais tout est bon pour la déesse aux mille visages, cette insaisissable intelligence artificielle. Et nous, pauvres ignares, devons-nous y toucher? Jusqu’à quel point? Expérience.
Le gendarme qui sait parler aux jeunes
Face à l’imagination sans limite des escrocs du net, le préposé à la prévention de la gendarmerie vaudoise propose, sous le pseudonyme eCop François, une utilisation exemplaire des réseaux sociaux, somme toute parfois bien utiles.
Une leçon de pragmatisme à 10 millions de dollars
Par une suite de contingences qui ne doivent rien au hasard – je ne crois pas au hasard – je me suis retrouvé embrigadé par une connaissance cypriote dans le congrès du «Conseil international des directeurs du Festival mondial de la Jeunesse (WYF)» dont la première édition a eu lieu en (...)
Plus d’argent pour l’armée mais pas de politique de sécurité
De l’UDC au PS, les critiques contre les dépenses faramineuses investies dans la défense se multiplient. D’autant que selon le «Tages-Anzeiger», Viola Amherd prend le Conseil fédéral par surprise avec un plan secret à 10 milliards de francs pour l’armée, un emprunt remboursable dès 2045. La proposition irrite certains de (...)
«Ils ont failli avoir accès à 90% des ordinateurs du monde»
En avril dernier a été découverte la tentative d’installation d’une «porte dérobée» dans un programme informatique largement utilisé. La plupart des comptes-rendus de cette histoire indiquaient que de telles vulnérabilités sont dues d’une part aux défaillances du monde du développement open-source, et de l’autre à la malveillance de certains Etats. (...)
La défense suisse patauge dans les comptes et ignore un péril immédiat
La cheffe du Département, Viola Amherd, et son «général» Süssli n’en finissent pas de s’expliquer, dans la confusion, sur les difficultés budgétaires, tout en demandant une pluie de milliards supplémentaires. En revanche ces responsables de la sécurité se fichent d’un danger bien réel et actuel: les hackers qui pillent leurs (...)
Chez Google, même à Zurich, la fête est finie
Les licenciements et les restructurations chaotiques pèsent sur l’ambiance au sein du géant du numérique, même dans les bureaux installés en Suisse. L’image de Google comme une «bande de créatifs indépendants», et la passion qui pouvait animer ses employés a fait long feu, remplacées par une ambiance délétère au travail. (...)
L’enjeu vital de la cybersécurité à l’hôpital
Les appareils médicaux électroniques tels que les pompes à perfusions, les stimulateurs cardiaques ou les robots chirurgicaux sont de plus en plus ciblés par les cybercriminels. Avec des conséquences potentiellement mortelles.
Au paradis du Grand Algorithme
Le rêve d’une civilisation sans hommes, d’une religion sans Dieu, d’une démocratie sans peuple, de journaux sans journalistes est en passe d’aboutir. Celui d’une économie sans entrepreneurs est en train de devenir réalité. En témoignent les trois petites anecdotes suivantes.
La revanche de l’économie réelle
Il y a plus de vingt ans, en mars 2000, éclatait la première bulle internet, inaugurant un cycle de faillites retentissantes (Enron) et de dévoilement de fraudes massives (Worldcom, Adelphia) qui durèrent jusqu’en 2002 et jetèrent un discrédit durable sur la branche. Un débat opposa alors les tenants de l’économie (...)
Un fantôme dans la machine: quand l’IA effraie ses propres concepteurs
L’intelligence artificielle est un miroir aux alouettes qui se joue de notre capacité à personnifier les choses. Même les ingénieurs de Google s’y laissent prendre. Blake Lemoine est l’un d’entre eux, et a récemment été suspendu par le géant américain après avoir déclaré que son nouveau programme de communication avec (...)
Les cyberpirates nord-coréens à l’assaut des réseaux de cryptomonnaies
Certains groupes cybercriminels comme les groupes APT38 et le groupe Lazarus, affiliés à la Corée du Nord, se sont spécialisés dans les cyberattaques financières, car celles-ci sont en général extrêmement lucratives. Les plates-formes de change de cryptomonnaies (comme le bitcoin) font partie des cibles « naturelles » à haut potentiel pour les (...)
