La prochaine vague d’attaques Log4J sera brutale

Il y a une semaine, Internet a connu un événement sismique. Grâce à une vulnérabilité dans Log4j, une bibliothèque open source populaire, des multitudes de serveurs à travers le monde ont été soudainement exposés à des attaques relativement simples. La première vague de piratage est bien amorcée. Mais c’est ce qui vient ensuite qui devrait vous inquiéter.

Jusqu’à présent, l’avant-garde du piratage Log4j comprenait principalement des cryptomineurs, des logiciels malveillants qui drainent les ressources d’un système affecté pour exploiter la crypto-monnaie. (Ceux-ci étaient extrêmement populaires il y a quelques années, avant que tout le monde ne réalise que l’argent réel se trouve dans les logiciels de rançon.) Certains espions d’États-nations se sont également essayés, selon des rapports récents de Microsoft et d’autres. Ce qui manque apparemment, c’est l’extorsion, le ransomware, les attaques perturbatrices qui ont tellement marqué ces deux dernières années. Ce ne sera pas le cas pour longtemps.

Le battage médiatique est endémique dans le monde de la cybersécurité, tout comme la propagation de la peur, de l’incertitude et du doute. Beaucoup de logiciels ont des défauts ; ils ne peuvent pas tous être alors mal. Au dire de tous, cependant, la vulnérabilité Log4j, également connue sous le nom de Log4Shell, est à la hauteur du battage médiatique pour une multitude de raisons. Le premier est l’ubiquité de Log4j lui-même. En tant que cadre de journalisation, il aide les développeurs à suivre tout ce qui se passe dans leurs applications. Parce qu’il est open source et fiable, brancher Log4j au lieu de créer votre propre bibliothèque de journalisation à partir de zéro est devenu une pratique courante. De plus, tant de logiciels modernes sont concoctés à partir de divers fournisseurs et produits qu’il peut être difficile, voire impossible, pour de nombreuses victimes potentielles de connaître l’étendue de leur exposition. Si la poupée Matryoshka la plus interne de votre code exécute Log4j, bonne chance pour la trouver.

Mais attendez, il y a plus ! Log4Shell est également relativement trivial à exploiter. Envoyez simplement un morceau de code malveillant et attendez qu’il soit enregistré. Une fois que cela se produit, félicitations ; vous pouvez maintenant exécuter à distance le code de votre choix sur le serveur concerné. (Avertissements : il s’agit de la version courte. C’est un peu plus compliqué dans la pratique. De plus, les versions Log4j antérieures à 2.0 ne semblent pas affectées, bien qu’il y ait un débat là-dessus.)

C’est cette combinaison de sévérité, de simplicité et d’omniprésence qui a secoué la communauté de la sécurité. « Il s’agit de loin de la vulnérabilité la plus importante et la plus critique de tous les temps », déclare Amit Yoran, PDG de la société de cybersécurité Tenable et directeur fondateur de l’US-CERT, l’organisation chargée de coordonner la réponse public-privé aux menaces numériques.

Jusqu’à présent, cependant, cette calamité semble lente à se manifester. Les pirates ciblent absolument Log4j ; La société de sécurité Check Point a connu plus de 1,8 million de tentatives d’exploitation de la vulnérabilité depuis vendredi, selon le porte-parole Ekram Ahmed. À certains moments, ils ont vu plus de 100 tentatives par minute. Et des groupes parrainés par l’État de Chine et d’Iran ont été repérés en train d’utiliser Log4Shell pour prendre pied sur diverses cibles. Pourtant, pour l’instant, les cryptomineurs règnent en maître.

« Les mineurs sont généralement les premiers à sauter sur ces choses car il s’agit de la forme de cybercriminalité la moins risquée », explique Sean Gallagher, chercheur principal sur les menaces à la société de cybersécurité Sophos. « Ils ne nécessitent pas beaucoup de piratage au-delà de l’entrée, ils ne nécessitent pas beaucoup de compétences pratiques au clavier pour se déployer. Ils sont généralement emballés et prêts à l’emploi ; tout ce dont ils ont besoin, c’est d’une vulnérabilité avec laquelle entrer.