Log4Shell : les autorités américaines mettent les entreprises face à leurs responsabilités

La Federal Trade Commission (FTC), la commission américaine du commerce, vient d’avertir les entreprises qu’elle « a l’intention d’utiliser toute son autorité juridique » si elles ne protègent pas les consommateurs contre la vulnérabilité Log4Shell et d’autres vulnérabilités comparables.

L’avertissement a été publié mardi 4 janvier dans un billet de blog sur le site Web de la FTC au sujet de la vulnérabilité CVE-2021-44228, une vulnérabilité de configuration critique qui affecte l’omniprésente librairie de journalisation Java log4j et permet l’exécution de code à distance, contre le grand nombre d’organisations qui sont affectées.

Dans billet intitulé « La FTC avertit les entreprises de remédier à la vulnérabilité de sécurité de Log4j », la commission indique que les entreprises qui utilisent cette librairie ont l’obligation légale d’agir face à la menace que représente la vulnérabilité.

La FTC invoque ainsi une « obligation de prendre des mesures raisonnables pour atténuer les vulnérabilités logicielles connues », liée à des dispositions législatives relevant notamment du Federal Trade Commission Act et de Gramm Leach Bliley Act. Pour la FTC, il apparaît donc « essentiel que les entreprises et leurs fournisseurs qui s’appuient sur Log4j agissent maintenant, afin de réduire la probabilité de préjudice pour les consommateurs, et d’éviter une action en justice de la FTC ».

La commission a utilisé des termes plus forts pour décrire le potentiel d’action en justice plus loin dans son billet, en affirmant qu’elle « poursuivrait les entreprises qui ne prennent pas de mesures raisonnables pour protéger les données des consommateurs contre l’exposition résultant de Log4j, ou de vulnérabilités similaires connues à l’avenir ».

Le billet de la FTC fait en outre référence à la brèche de 2017 subie par le géant de l’évaluation de la solvabilité Equifax. Cette brèche s’est produite en raison d’une vulnérabilité critique d’Apache Struts qui n’a pas été corrigée malgré la disponibilité d’une mise à jour, et a finalement entraîné la compromission des données personnelles de près de 150 millions d’Américains ainsi que de millions de clients en dehors des États-Unis.

Comme un rapport d’enquête l’avait montré, tout est parti d’une vulnérabilité d’Apache Struts utilisée dans l’attaque, et rendue publique le 7 mars 2017. Equifax a reçu une alerte du ministère américain de l’Intérieur le lendemain. Le personnel responsable de la mise à jour des systèmes a été informé le 9 mars. Le 15 mars, l’entreprise a effectué une recherche de systèmes vulnérables, pour n’en trouver aucun. Et cela alors même que les attaquants avaient déjà exploité la vulnérabilité le 10 mars.

Peu après la brèche, la FTC a lancé une enquête de 20 mois aux côtés de partenaires étatiques et du Consumer Financial Protection Bureau, qui a finalement abouti à un règlement en 2019. Comme le note la FTC sur son blog, « Equifax a accepté de payer 700 millions de dollars pour régler les actions de la Federal Trade Commission, du Consumer Financial Protection Bureau et des cinquante États ».