La faille de sécurité qui fait paniquer Internet – WPRI.com – Un bon serveur Minecraft

BOSTON (AP) – Les professionnels de la sécurité disent qu'il s'agit de l'une des pires vulnérabilités informatiques qu'ils aient jamais vues. Ils disent que des pirates informatiques chinois et iraniens soutenus par l'État et des mineurs de crypto-monnaie voyous s'en sont déjà emparés.

Le Department of Homeland Security sonne l'alarme, ordonnant aux agences fédérales d'éliminer de toute urgence le bogue car il est si facilement exploitable – et disant à ceux qui ont des réseaux publics de mettre en place des pare-feu s'ils ne peuvent pas en être sûrs. Le logiciel affecté est petit et souvent non documenté.

Détectée dans un utilitaire largement utilisé appelé Log4j, la faille permet aux attaquants basés sur Internet de prendre facilement le contrôle de tout, des systèmes de contrôle industriels aux serveurs Web et à l'électronique grand public. Identifier simplement quels systèmes utilisent l'utilitaire est un défi prodigieux ; il est souvent caché sous des couches d'autres logiciels.

La plus haute responsable américaine de la défense en matière de cybersécurité, Jen Easterly, a jugé la faille "l'une des plus graves que j'aie vues de toute ma carrière, sinon la plus grave" lors d'un appel lundi avec des responsables étatiques et locaux et des partenaires du secteur privé. Divulgué publiquement jeudi dernier, il s'agit d'une herbe à chat pour les cybercriminels et les espions numériques, car elle permet une entrée facile et sans mot de passe.

La Cybersecurity and Infrastructure Security Agency, ou CISA, que dirige Easterly, a publié mardi une page de ressources pour aider à effacer une faille qui, selon elle, est présente dans des centaines de millions d'appareils. D'autres pays fortement informatisés le prenaient tout aussi au sérieux, l'Allemagne activant son centre national de crise informatique.

Un large éventail d'industries critiques, notamment l'énergie électrique, l'eau, l'alimentation et les boissons, la fabrication et les transports, ont été exposés, a déclaré Dragos, l'une des principales sociétés de cybersécurité du contrôle industriel. "Je pense que nous ne verrons pas un seul grand fournisseur de logiciels dans le monde – du moins du côté industriel – n'avoir de problème avec cela", a déclaré Sergio Caltagirone, vice-président du renseignement sur les menaces de l'entreprise.

Eric Goldstein, qui dirige la division cybersécurité de CISA, a déclaré que Washington menait une réponse mondiale. Il a déclaré qu'aucune agence fédérale n'avait été compromise. Mais ce sont les premiers jours.

"Ce que nous avons ici est une vulnérabilité extrêmement répandue, facile à exploiter et potentiellement très dommageable qui pourrait certainement être utilisée par des adversaires pour causer de réels dommages", a-t-il déclaré.

UN PETIT CODE, UN MONDE DE PROBLÈMES

Le logiciel concerné, écrit dans le langage de programmation Java, enregistre l'activité des utilisateurs sur les ordinateurs. Développé et maintenu par une poignée de bénévoles sous les auspices de l'open source Apache Software Foundation, il est extrêmement populaire auprès des développeurs de logiciels commerciaux. Il fonctionne sur de nombreuses plates-formes – Windows, Linux, macOS d'Apple – alimentant tout, des webcams aux systèmes de navigation automobile et aux appareils médicaux, selon la société de sécurité Bitdefender.

Goldstein a déclaré aux journalistes lors d'une conférence téléphonique mardi soir que CISA mettrait à jour un inventaire de logiciels corrigés à mesure que des correctifs seraient disponibles. Log4j est souvent intégré à des programmes tiers qui doivent être mis à jour par leurs propriétaires. "Nous nous attendons à ce que la réparation prenne un certain temps", a-t-il déclaré.

Apache Software Foundation a déclaré que le géant chinois de la technologie Alibaba l'avait notifié de la faille le 24 novembre. Il a fallu deux semaines pour développer et publier un correctif.

Au-delà de l'application de correctifs pour corriger la faille, les professionnels de la sécurité informatique ont un défi encore plus redoutable : essayer de détecter si la vulnérabilité a été exploitée, si un réseau ou un appareil a été piraté. Cela signifiera des semaines de surveillance active. Un week-end effréné d'essayer d'identifier – et de fermer – les portes ouvertes avant que les pirates ne les exploitent se transforme maintenant en un marathon.

HALTE AVANT LA TEMPÊTE

"Beaucoup de gens sont déjà assez stressés et assez fatigués de travailler tout le week-end – alors que nous allons vraiment nous en occuper dans un avenir prévisible, à peu près jusqu'en 2022", a déclaré Joe Slowik, responsable du renseignement sur les menaces au réseau. société de sécurité Gigamon.

La société de cybersécurité Check Point a déclaré mardi avoir détecté plus d'un demi-million de tentatives d'acteurs malveillants connus pour identifier la faille sur les réseaux d'entreprise à travers le monde. Il a déclaré que la faille avait été exploitée pour implanter un malware d'extraction de crypto-monnaie – qui utilise des cycles informatiques pour extraire subrepticement de l'argent numérique – dans cinq pays.

Pour l'instant, aucune infection réussie par un ransomware utilisant la faille n'a été détectée. Mais les experts disent que ce n'est probablement qu'une question de temps.

"Je pense que ce qui va se passer, c'est qu'il faudra deux semaines avant que l'effet de cela ne se fasse sentir, car les pirates informatiques se sont introduits dans les organisations et détermineront quoi faire ensuite." John Graham-Cumming, directeur technique de Cloudflare, dont l'infrastructure en ligne protège les sites Web des menaces en ligne.

Nous sommes dans une accalmie avant la tempête, a déclaré le chercheur principal Sean Gallagher de la société de cybersécurité Sophos.

"Nous nous attendons à ce que les adversaires saisissent probablement autant d'accès à tout ce qu'ils peuvent obtenir dès maintenant dans le but de le monétiser et/ou d'en tirer parti plus tard." Cela inclurait l'extraction des noms d'utilisateur et des mots de passe.

Des pirates informatiques chinois et iraniens soutenus par l'État ont déjà exploité la faille, vraisemblablement à des fins de cyberespionnage, et d'autres acteurs étatiques étaient censés le faire également, a déclaré John Hultquist, analyste des menaces de premier plan au sein de la société de cybersécurité Mandiant. Il ne nommerait pas la cible des pirates chinois ni sa situation géographique. Il a déclaré que les acteurs iraniens étaient « particulièrement agressifs » et avaient participé à des attaques de ransomware principalement à des fins perturbatrices.

LOGICIEL : INSÉCURITÉ PAR CONCEPTION ?

L'épisode Log4j expose un problème mal traité dans la conception de logiciels, selon les experts. Trop de programmes utilisés dans des fonctions critiques n'ont pas été développés avec suffisamment d'attention à la sécurité.

Les développeurs open source comme les volontaires responsables de Log4j ne devraient pas être autant blâmés qu'une industrie entière de programmeurs qui incluent souvent aveuglément des extraits de ce code sans faire preuve de diligence raisonnable, a déclaré Slowik de Gigamon.

Les applications populaires et personnalisées manquent souvent d'une « nomenclature logicielle » qui permet aux utilisateurs de savoir ce qu'il y a sous le capot – un besoin crucial dans des moments comme celui-ci.

« Cela devient évidemment de plus en plus un problème, car les fournisseurs de logiciels dans l'ensemble utilisent des logiciels librement disponibles », a déclaré Caltagirone de Dragos.

Dans les systèmes industriels en particulier, a-t-il ajouté, les anciens systèmes analogiques dans tous les domaines, des services d'eau à la production alimentaire, ont été mis à niveau numériquement au cours des dernières décennies pour une gestion automatisée et à distance. "Et l'une des façons dont ils l'ont fait, évidemment, a été par le biais de logiciels et par l'utilisation de programmes qui utilisaient Log4j", a déclaré Caltagirone.