Les clés pour comprendre Log4Shell et ses conséquences
Introduction
Divulguée par l’équipe de sécurité d’Alibaba le 9 décembre 2021, la vulnérabilité Log4Shell, en raison de son ampleur, a cristallisé les tensions concernant l’ensemble des pratiques de cybersécurité dans les entreprises, les agences gouvernementales et les organisations open source. Pressées par la couverture médiatique, les entreprises ont sonné l’alerte générale entre le 13 et le 14 décembre. Comme cette vulnérabilité a ciblé Log4j 2, une bibliothèque open source très populaire servant à récolter des logs et des traces dans les applications Java, la très grande majorité des entreprises, des éditeurs et une bonne part de projets open source ont été touchés. Cette faille et d’autres découvertes par la suite ont été activement exploitées par les cyberattaquants..
La petite équipe derrière Log4j 2 a travaillé d’arrache-pied pour proposer des correctifs, que les éditeurs et les entreprises ont dû ensuite déployer rapidement. En parallèle, ils ont mis en place les parades nécessaires à la détection et au blocage des attaques effectuées à travers ce canal. Pour autant, la vulnérabilité demeure. Elle serait devenue « endémique » selon un rapport du Cyber Safety Review Board rendu public en juillet dernier ; Log4Shell demeure active et peut encore faire l’objet d’exploitation par les cyberattaquants. Selon un rapport mené par le spécialiste de la gestion des vulnérabilités Qualys, 30 % des instances Log4j 2 n’étaient pas encore mises à jour en mars 2022.
Donnant raison aux inquiétudes gouvernementales américaines, Log4Shell n’a fait qu’accélérer la prise de mesure pour renforcer la sécurité logicielle au sein des agences gouvernementales et des sous-traitants au service des États-Unis. En entreprise et chez les éditeurs, ces vulnérabilités d’ampleur entraînent une prise de conscience progressive du renforcement nécessaire des pratiques de cybersécurité. Les spécialistes et les éditeurs recommandent en particulier l’adoption des approches DevSecOps et Zero Trust.
Log4Shell est devenu un symbole, une empreinte dans la mémoire collective des développeurs. Il est même possible d’acheter sur le Web une casquette portant la mention : « I survived Log4j 2 ».
Mais la vulnérabilité n’a été qu’un révélateur. De nombreux problèmes subsistent. Si dans l’ensemble, toutes les parties prenantes ont joué le jeu, cet épisode a mis en lumière plusieurs enjeux liés à la sécurité des projets open source, la protection de la supply chain logicielle, l’application des patchs, des règles de conformité et les relations parfois difficiles entre les entreprises et leurs fournisseurs logiciels. Sans oublier de mentionner les ambivalences envers les chercheurs découvrant ces failles. Applaudi, leur travail n’est pas forcément valorisé à sa juste valeur.
Ce guide essentiel rappelle ce qu’est Log4Shell et établit une chronologie des faits. Outre les mesures prises par l’administration américaine et les réactions des entreprises, il évoque les mesures prises au sein des fondations open source pour renforcer la sécurité des projets et résoudre plus rapidement ces vulnérabilités. Enfin, il met en lumière l’adoption croissante des nomenclatures logicielles (SBOM) et des nouvelles pratiques associées à l’approche DevSecOps.
1Contexte-
Log4Shell : le déroulé des faits
Apache log4j : une vulnérabilité qui pourra vite tourner au cauchemar
Cette vulnérabilité permet l’exécution de code à distance sur les systèmes affectés. Et ils sont susceptibles d’être très nombreux. De quoi justifier ce qui ressemble à un vent de panique soufflant sur Internet. Lire la suite
Log4Shell : pourquoi cette vulnérabilité provoque un tel émoi
Cette vulnérabilité affecte le projet log4j de la fondation Apache, très largement utilisé. Elle permet de prendre le contrôle complet d’un système affecté. Les cyberattaques la mettant à profit peuvent être désastreuses. Lire la suite
Log4Shell ne doit pas faire oublier les autres vulnérabilités critiques
De nombreuses organisations se concentrent sur la recherche et la correction de Log4Shell, mais d'autres vulnérabilités, notamment celles corrigées dans le Patch Tuesday de Microsoft, sont déjà activement exploitées. Lire la suite
Vulnérabilités : le feuilleton log4j continue
Une nouvelle vulnérabilité permettant l’exécution à distance de code a été découverte dans la librairie de journalisation log4j 2. Une nouvelle version la corrige, ce qui implique l’application de correctifs, encore une fois. Lire la suite
2Réactions et mesures-
Un appel à la standardisation de la sécurité et des patchs
Log4Shell : les autorités américaines mettent les entreprises face à leurs responsabilités
Dans un billet de blog au sujet de la vulnérabilité critique dite Log4Shell, la FTC rappelle le précédent de la brèche d’Equifax, en 2017, et ses conséquences judiciaires. Lire la suite
Comme le Cigref, le Cesin apparaît excédé d’avoir à gérer tant de vulnérabilités
À quelques mois d’intervalle, le Cesin rejoint la ligne du Cigref en proposant, dans le cadre de l’élection présidentielle de 2022, d’en « finir avec cet afflux de logiciels vulnérables », car le déploiement des correctifs « représente un coût élevé ». Lire la suite
CrowdSec : une approche collective de la protection contre les menaces
Les acteurs malveillants cherchent rapidement à exploiter toute nouvelle vulnérabilité. Ils le montrent encore avec Log4Shell. CrowdSec propose un outil de mutualisation de la connaissance de la menace pour se protéger. Lire la suite
Comment le micropatching pourrait aider à gérer les vulnérabilités
Les innombrables vulnérabilités, connues, mais non corrigées, représentent un risque important et permanent pour les entreprises. Le micropatching peut contribuer à combler le manque de mises à jour de sécurité. Lire la suite
3Un enjeu majeur-
La sécurité et le financement de l’open source
Remédiation et SBOM : les deux enseignements de Log4j
L’événement Log4Shell a laissé une trace durable dans l’esprit des responsables IT. Il a également remis sur le devant de la scène les dispositifs pour amoindrir les conséquences d’une faille. Selon les experts du secteur, les entreprises doivent accélérer l’application des patchs et lister leurs dépendances logicielles dans un SBOM. Lire la suite
Sécurité de l’open source : bien plus qu’une histoire de financement
La vulnérabilité Log4Shell a non seulement mis sur le gril la sécurité de l’open source, mais également relancé le débat consacré à son financement, alors que les acteurs du secteur appellent de leurs vœux l’adoption du principe de responsabilité partagée. Lire la suite
Sécurité de l’open source : les pistes des fondations pour la renforcer
Face aux menaces de plus en plus pressantes sur les dépôts de code open source, les promoteurs des projets et les fondations savent qu’il faut réagir. Ils doivent d’abord faire face à un problème culturel qui touche l’ensemble de l’industrie logicielle. Lire la suite
Cybersécurité : le CNCF et la CISA se penchent sur l’adaptation du SBOM au cloud
Les discussions dans l’industrie sur la manière de surmonter les problèmes de sécurité du cloud à l’aide des SBOM incluent une initiative récente de la CNCF qui exploite une base de données orientée graphes pour gérer les métadonnées transitoires. Lire la suite
4DevSecOps-
Une prise de conscience progressive
DevSecOps : les enseignements du Département de la Défense américain
Lors de l’événement GitLab Commit 2021, deux ingénieurs d’Anchore ont partagé leur expérience autour de ce projet et les enseignements qu’ils en tirent, afin de bâtir une chaîne d’outils et des pipelines CI/CD sécurisés. Lire la suite
DevSecOps : les bénéfices et les risques de l’automatisation
Lors du sommet virtuel DevOps Live Paris, événement dont LeMagIT était partenaire, nous avons animé un débat consacré à la gestion des risques de sécurité grâce à l’automatisation dans une approche DevSecOps. Cinq intervenants ont partagé leurs points de vue, leurs expériences et leurs conseils quant à cette approche. Dans cet article, nous en tirons les enseignements. Lire la suite
DevSecOps : les responsables IT ne veulent plus naviguer à vue
La cybersécurité ne s’améliorera pas si les régulateurs et les experts du secteur ne donnent pas de conseils plus clairs sur la manière de mettre en œuvre l’approche DevSecOps, selon les discussions qui ont eu lieu lors du GitLab Commit 2021. Lire la suite
DevSecOps : les 10 métriques clés à surveiller
Connaître les indicateurs à surveiller et savoir quoi en faire est un bon point de départ pour mesurer la réussite d’un projet applicatif et renforcer sa sécurité. Lire la suite