Les pirates chinois exploitent déjà une vulnérabilité logicielle « entièrement militarisée » qui sème le chaos sur le Web, les experts avertissant qu'il s'agit de la menace « la plus grave » qu'ils aient vue depuis des décennies.
La faille a été découverte plus tôt ce mois-ci dans un logiciel appelé Log4j, qui aide les applications à interagir les unes avec les autres sur les réseaux informatiques.
En exploitant la faille, baptisée Log4Shell, les pirates peuvent prendre le contrôle des serveurs qui gèrent le réseau et les réutiliser à leurs propres fins.
Cela pourrait signifier voler des données sur ces serveurs, telles que des dossiers médicaux et des photos, piller les bases de données d'entreprises pour les coordonnées bancaires des personnes, ou verrouiller des serveurs et extorquer des entreprises dans le cadre d'attaques dites de « ransomware ».
Et la plupart des utilisateurs ordinaires ne peuvent pas faire grand-chose pour empêcher que cela ne se produise, ni aucun moyen de savoir si des données ont été volées de cette manière.
Comme l'a dit une source de cybersécurité qui s'est entretenue avec MailOnline : "C'est ici que vous mettez votre foi dans les dieux de l'ordinateur et espérez que cela sera bientôt réparé."
Les pirates chinois exploitent déjà une vulnérabilité logicielle « entièrement militarisée » qui cause du chaos sur le Web, les experts avertissant qu'elle constitue une menace pour les appareils connectés à Internet à travers le monde. Sur la photo : un pirate informatique travaille sur un ordinateur [stock image]
Les données ne seront vulnérables à ce piratage que si elles ont été stockées sur un serveur qui utilise une API – une " interface de programmation d'applications ", en fait un rouage invisible qui aide les réseaux informatiques à tourner – qui intègre Log4J, a ajouté l'expert.
Cela signifie, par exemple, que les photos qui n'ont jamais été téléchargées sur Internet doivent être en sécurité – mais de nombreux téléphones sauvegardent automatiquement les images en ligne sans que les utilisateurs ne le sachent.
La plupart des entreprises auront également mis en place des mesures de sécurité supplémentaires telles qu'un logiciel de cryptage qui protégerait probablement les données sensibles, mais les utilisateurs n'auront que peu ou aucun moyen de savoir si c'est le cas et seront incapables de prendre des mesures supplémentaires pour protéger les données même si ils découvrent qu'il est vulnérable.
Et parce que Log4J est open source – ce qui signifie qu'il peut être librement consulté et utilisé par les ingénieurs réseau – de nombreuses entreprises peuvent ne pas savoir que leurs systèmes ont été construits en l'utilisant jusqu'à ce qu'il soit trop tard.
Des millions d'entreprises seraient en danger. En matière de sécurité, Check Point a déclaré que 37% des réseaux d'entreprise britanniques avaient déjà été la cible d'une tentative d'exploitation de la vulnérabilité, des pirates informatiques scrutant Internet à la recherche de cibles potentielles.
Certaines des plus grandes entreprises technologiques du monde, notamment Microsoft, Cisco, IBM et Google, ainsi que des agences gouvernementales telles que la Cybersecurity and Infrastructure Security Agency (CISA) aux États-Unis, ont découvert que certains de leurs serveurs étaient vulnérables.
Ils ont depuis publié des directives sur la façon de lutter contre la menace, exhortant les clients qui utilisent Log4j à mettre à jour le logiciel vers la dernière version, publiée depuis qu'Apache – la société de logiciels qui a créé Log4J – a pris connaissance de la vulnérabilité.
Les sociétés de cybersécurité américaines Mandiant et Crowdstrike ont également déclaré avoir trouvé des groupes de piratage sophistiqués tirant parti du bogue pour violer des cibles. Mandiant a décrit ces pirates comme des "acteurs du gouvernement chinois" dans un e-mail adressé à l'agence de presse Reuters.
Les experts techniques émettent de graves avertissements concernant la vulnérabilité, affirmant que la faille pose l'un des risques de cybersécurité les plus graves jamais vus.
« La vulnérabilité d'exécution de code à distance Apache Log4j est la vulnérabilité la plus importante et la plus critique de la dernière décennie », a déclaré Amit Yoran, directeur général de la société de sécurité réseau Tenable et fondateur de l'équipe américaine de préparation aux urgences informatiques.
Juan Andres Guerrero-Saade, chercheur principal sur les menaces pour la société de cybersécurité SentinelOne, l'a qualifié de "l'une de ces vulnérabilités cauchemardesques auxquelles il n'y a pratiquement aucun moyen de se préparer".
Guerrero-Saade a déclaré que son entreprise avait déjà vu des groupes de piratage chinois se déplacer pour tirer parti de la vulnérabilité.
Lotem Finkelstein, directeur de l'intelligence et de la recherche sur les menaces chez Check Point Software, a déclaré : C'est clairement l'une des vulnérabilités les plus graves sur Internet ces dernières années, et elle se propage comme une traînée de poudre. À un moment donné, nous avons vu plus de 100 piratages par minute liés à la vulnérabilité LogJ4.
«Nous assistons à ce qui semble être une répression évolutive, avec de nouvelles variantes de l'exploit original introduites rapidement – plus de 60 en moins de 24 heures. Le nombre de combinaisons permettant de l'exploiter offre à l'attaquant de nombreuses alternatives pour contourner les protections nouvellement introduites », a-t-il déclaré.
« Cette vulnérabilité, en raison de la complexité de son application et de sa facilité d'exploitation, restera avec nous pendant des années, à moins que les entreprises et les services ne prennent des mesures immédiates pour empêcher les attaques sur leurs produits en mettant en œuvre une protection.
« Il est maintenant temps d'agir. Compte tenu des périodes de vacances, lorsque les équipes de sécurité peuvent être plus lentes à mettre en œuvre des mesures de protection, la menace est imminente. Cela agit comme une cyberpandémie – très contagieuse, se propage rapidement et présente de multiples variantes, qui obligent à davantage de moyens d'attaquer.
La faille est considérée comme si grave car le logiciel affecté est utilisé dans un large éventail d'appareils utilisant le logiciel Java. Il est si populaire et intégré dans les programmes de nombreuses entreprises que les responsables de la sécurité s'attendent à des abus généralisés.
Les services en ligne utilisés par des millions de personnes, notamment Netflix, Amazon, Uber et LinkedIn, et les services basés sur le cloud tels que Apple iCloud, Android OS, Google Documents et bien d'autres sont tous menacés par le bogue logiciel.
Des géants de la technologie tels qu'Amazon Web Services et IBM ont déjà pris des mesures pour remédier à la faille de leurs produits. Cependant, les attaquants potentiels avaient plus d'une semaine d'avance avant que cela ne soit rendu public.
Il a été remarqué pour la première fois sur les sites utilisés par les utilisateurs du jeu vidéo populaire Minecraft, et a été officiellement signalé à Apache le 24 novembre par Chen Zhaojun – un employé du géant chinois du commerce électronique Alibaba.
Il est maintenant évident que l'exploitation initiale a été repérée le 2 décembre, avant qu'un correctif ne soit déployé quelques jours plus tard. Les attaques sont devenues beaucoup plus répandues car les personnes jouant à Minecraft l'ont utilisé pour prendre le contrôle des serveurs et faire passer le mot dans les chats de jeu.
Vendredi, le gouvernement américain a envoyé un avertissement au secteur privé concernant la vulnérabilité Log4j d'Apache et le risque imminent qu'elle représente, tandis que l'Allemagne a activé son centre national de crise informatique en réponse à la faille "extrêmement critique".
Dans un communiqué, CISA a déclaré : " Log4j est très largement utilisé dans une variété de services grand public et d'entreprise, de sites Web et d'applications, ainsi que dans des produits technologiques opérationnels, pour enregistrer des informations de sécurité et de performances.
"Un acteur distant non authentifié pourrait exploiter cette vulnérabilité pour prendre le contrôle d'un système affecté."
La directrice de CISA, Jen Easterly, a averti que la faille était déjà largement exploitée "par un ensemble croissant d'acteurs de la menace".
« Internet est en feu en ce moment », a déclaré Adam Meyers, vice-président senior du renseignement de la société de cybersécurité Crowdstrike. "Les gens se démènent pour patcher", a-t-il déclaré, "et toutes sortes de personnes se démènent pour l'exploiter."
Il a déclaré vendredi matin qu'au cours des 12 heures écoulées depuis la divulgation de l'existence du bogue, il avait été "entièrement militarisé", ce qui signifie que des malfaiteurs avaient développé et distribué des outils pour l'exploiter.
Une grande partie des logiciels affectés par Log4j, qui portent des noms comme Hadoop ou Solr, peuvent ne pas être familiers au grand public.
Mais comme avec le programme SolarWinds au centre d'une opération d'espionnage russe massive l'année dernière, l'omniprésence de ces programmes bourreaux de travail en fait des points de départ idéaux pour les intrus numériques.
Alors qu'un correctif partiel de la vulnérabilité a été publié vendredi par Apache, le fabricant de Log4j, les entreprises concernées et les cyberdéfenseurs auront besoin de temps pour localiser le logiciel vulnérable et mettre en œuvre correctement les correctifs.
En pratique, cette faille permet à un étranger d'entrer du code actif dans le processus d'archivage. Ce code indique ensuite au serveur hébergeant le logiciel d'exécuter une commande donnant le contrôle au pirate.
Jusqu'à présent, aucun incident informatique perturbateur majeur n'a été publiquement documenté en raison de la vulnérabilité, mais les chercheurs constatent une augmentation alarmante des groupes de piratage essayant de tirer parti du bogue à des fins d'espionnage.
"Nous nous attendons également à voir cette vulnérabilité dans la chaîne d'approvisionnement de chacun", a déclaré Chris Evans, responsable de la sécurité des informations chez HackerOne.
Plusieurs botnets, ou groupes d'ordinateurs contrôlés par des criminels, exploitaient également la faille dans le but d'ajouter plus de machines captives, ont déclaré des experts qui suivent les développements.
Ce que de nombreux experts craignent maintenant, c'est que le bogue puisse être utilisé pour déployer des logiciels malveillants qui détruisent les données ou les cryptent, comme ce qui a été utilisé contre l'opérateur de pipeline américain Colonial Pipeline Co en mai, ce qui a entraîné des pénuries de gaz dans certaines parties des États-Unis.
Pendant ce temps, un porte-parole du ministère allemand de l'Intérieur a déclaré que l'agence fédérale de sécurité informatique du pays exhortait les utilisateurs à corriger leurs systèmes le plus rapidement possible pour repousser d'éventuelles attaques à l'aide d'un bogue dans l'outil Log4J.
"La situation de menace est extrêmement critique", a déclaré le porte-parole, Steve Alter, aux journalistes à Berlin. « Des mesures de protection immédiates sont nécessaires. »
Les autorités allemandes ont enregistré des efforts pour exploiter le bogue dans le monde, y compris des tentatives réussies, a-t-il déclaré, sans plus de détails. Jusqu'à présent, aucune attaque réussie contre des entités ou des réseaux du gouvernement allemand n'a été confirmée, bien qu'un certain nombre aient été jugés vulnérables, a déclaré Alter.
L'Allemagne est en contact avec "de nombreux partenaires nationaux et internationaux" sur la question, a-t-il déclaré. "Un exploit réussi de cette faiblesse signifierait que quelqu'un pourrait prendre le contrôle complet du système affecté."
Java reste l'un des langages de programmation les plus populaires au monde et est utilisé pour créer des fonctions au sein d'une application ou d'un système.
À moins qu'un correctif ne soit trouvé, les criminels, les espions et les novices en programmation pourraient accéder facilement aux réseaux internes où ils peuvent piller des données précieuses, implanter des logiciels malveillants, effacer des informations cruciales et bien plus encore. [stock image]
Il est toujours utilisé à ce jour, que ce soit pour les services backend aux interfaces de développement utilisateur, dans certaines des applications ou services en ligne les plus populaires au monde, notamment Netflix, Amazon, Google et Android OS, Spotify, LinkedIn et Uber.
Avec le bogue 'Log4Shell', les pirates peuvent prendre le contrôle total d'un serveur externe, sans authentification, avec une relative facilité.
« J'aurais du mal à penser à une entreprise qui ne court aucun risque », a déclaré Joe Sullivan, directeur de la sécurité de Cloudflare, dont l'infrastructure en ligne protège les sites Web contre les acteurs malveillants.
« Log4Shell » a été découvert dans un utilitaire omniprésent dans les serveurs cloud et les logiciels d'entreprise utilisés dans l'industrie et le gouvernement.
Jusqu'à ce qu'il soit résolu, les criminels, les espions et les novices en programmation bénéficient d'un accès facile aux réseaux internes où ils peuvent voler des données précieuses, implanter des logiciels malveillants, effacer des informations cruciales et bien plus encore.
Des millions de serveurs l'ont installé, et les experts ont déclaré que les retombées ne seraient pas connues avant plusieurs jours. Amazon, Twitter et iCloud d'Apple sont considérés comme « vulnérables » à l'exploit.
Les pirates informatiques seraient également capables d'utiliser des codes QR, dont l'utilisation a été largement popularisée tout au long de la pandémie à des fins de test et de traçage du NHS, pour exécuter du code malveillant sur les serveurs.
La peur a incité des experts chevronnés du renseignement à réagir, dont Robert Joyce, directeur de la cybersécurité à la National Security Agency en Amérique.
Il a expliqué: "La vulnérabilité Log4j est une menace importante pour l'exploitation en raison de son inclusion généralisée dans les cadres logiciels, y compris le GHIDRA de la NSA (un outil d'ingénierie inverse open source gratuit)".
La vulnérabilité, baptisée, a été notée 10 sur une échelle de 1 à 10 par Apache Software Foundation, qui supervise le développement du logiciel. Toute personne ayant l'exploit peut obtenir un accès complet à un ordinateur non corrigé qui utilise le logiciel.
Les experts ont déclaré que l'extrême facilité avec laquelle la vulnérabilité permet à un attaquant d'accéder à un serveur Web – aucun mot de passe requis – est ce qui la rend si dangereuse.
Marcus Hutchins, un chercheur en sécurité Internet, a averti que Log4Shell pourrait rendre des millions d'applications vulnérables au piratage, car son logiciel est souvent utilisé par les développeurs.
Les experts en cybersécurité affirment que les utilisateurs du jeu en ligne Minecraft l'ont déjà exploité pour violer les appareils d'autres utilisateurs en collant un court message dans une boîte de discussion
L'équipe d'intervention d'urgence informatique de la Nouvelle-Zélande a été parmi les premières à signaler que la faille était " activement exploitée dans la nature " quelques heures seulement après sa publication jeudi et la publication d'un correctif.
La vulnérabilité, localisée dans le logiciel open source Apache utilisé pour exécuter des sites Web et d'autres services Web, a été signalée à la fondation le 24 novembre par le géant chinois de la technologie Alibaba, a-t-il indiqué. Il a fallu deux semaines pour développer et publier un correctif.
Mais corriger les systèmes dans le monde entier pourrait être une tâche compliquée.
Alors que la plupart des organisations et des fournisseurs de cloud tels qu'Amazon devraient pouvoir mettre à jour leurs serveurs Web facilement, le même logiciel Apache est également souvent intégré dans des programmes tiers, qui ne peuvent souvent être mis à jour que par leurs propriétaires.
Les premiers signes évidents de l'exploitation de la faille sont apparus dans Minecraft, un jeu en ligne très populaire auprès des enfants et appartenant à Microsoft.
Meyers et l'expert en sécurité Marcus Hutchins ont déclaré que les utilisateurs de Minecraft l'utilisaient déjà pour exécuter des programmes sur les ordinateurs d'autres utilisateurs en collant un court message dans une boîte de discussion.
Microsoft a déclaré avoir publié un correctif logiciel urgent pour les utilisateurs de Minecraft. "Les clients qui appliquent le correctif sont protégés", a-t-il déclaré.
Les chercheurs ont rapporté avoir trouvé des preuves que la vulnérabilité pourrait être exploitée sur des serveurs gérés par des sociétés telles qu'Apple, Amazon, Twitter et Cloudflare.
Commentaires
Laisser un commentaire