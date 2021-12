Les failles de sécurité ne sont jamais les bienvenues, surtout lorsqu’elles ont un impact important, comme le propose le nouveau Log4Shell. Cette faille est présente dans un composant utilisé par la plupart des principaux services Internet.

Son importance est telle qu’il y a déjà plusieurs alertes et beaucoup préparent leurs mises à jour. Log4Shell compromet la sécurité et la solution est maintenant disponible, tout le monde doit mettre à jour ses applications dès que possible.

Bien qu’elle soit présente dans un composant que peu de gens connaissent, la faille apportée par Log4Shell a un impact sur la quasi-totalité d’Internet et de nombreux services qui y existent. Il est présent dans Log4j, une bibliothèque Java dédiée à la journalisation.

Présent dans des services comme iCloud, Steam, Minecraft et bien d’autres, il possède une vulnérabilité qui permet à l’attaquant d’exécuter du code à distance sur ces plateformes. On sait qu’il est activement exploité et s’il se concentrait à l’origine sur le minage de logiciels malveillants, il s’est ouvert et est maintenant utilisé pour beaucoup plus.

C’était encore une autre faille découverte presque au hasard, mais dès qu’elle a été révélée, elle a immédiatement activé de nombreux experts en sécurité. Présent dans les versions 2.0-beta-9 à 2.14.1 de Log4j, il a été rapidement corrigé dans la version 2.15.0 de cette bibliothèque Java.

Avec une preuve de concept déjà disponible, il s’est rapidement avéré extrêmement simple à utiliser. Un simple changement de nom sur un iPhone peut faire l’affaire ou une recherche DNS peut provoquer ce problème et ainsi ouvrir la porte aux attaquants.

Avec de nombreux services Internet travaillant déjà pour atténuer ce problème, il est important que les utilisateurs suivent les instructions données. Ils doivent également mettre à jour les applications de ces services pour assurer la sécurité sur tous les fronts.

Avec un degré de gravité très élevé, Log4Shell est décrit comme encore pire que le célèbre Heartbleed. Cette faille dans Log4j prend d’assaut Internet et révèle qu’une grande partie de ce qui était considéré comme sécurisé est en fait exposé et pose de graves problèmes de sécurité.