Cybermenaces

Log4J : une vulnérabilité qui peut être combattue

Log4J : une vulnérabilité qui peut être combattue
Par
Christophe Jolly

Rendue publique le mois dernier, la vulnérabilité d’Apache Log4J n’en finit plus de faire les gros titres de la presse – qu’elle soit spécialisée ou généraliste. Même le quotidien Le Monde a évoqué ce sujet technique lors d’un tchat. Et pour cause : la faille pourrait avoir de lourdes conséquences sur de très nombreuses organisations, qu’elles soient publiques ou privées.

 

Prendre l’attaquant à « rebrousse poils »

Comme nous allons le voir par la suite, la vulnérabilité Log4J est probablement présente dans la plupart des entreprises. Et bien souvent elle est présente à l’insu de tous, et notamment des équipes en charge du secteur de l’informatique (I.T.).

Néanmoins, cette vulnérabilité et son exploitation n’ont que peu, voire pas de conséquences sur l’activité. En réalité, ce qui représente un vrai risque se sont les étapes qui suivent et qui vont permettre à un attaquant déterminé d’utiliser cette porte ouverte pour rentrer, se déplacer et mener à bien son projet. On ne le sait que trop : le principal but de l’attaque consiste bien souvent à voler de l’information et à crypto-locker un maximum de systèmes. 

Or, il faut des heures, des jours, voir des semaines à un attaquant pour arriver à son but ultime. Pendant tout ce temps, seule l’analyse comportementale des flux à l’intérieur de l’entreprise peut permettre de détecter, d’identifier le chemin de progression et de stopper l’attaquant. Celui-ci est alors arrêté dans sa progression, avant qu’il n’arrive à ses fins. Au passage, vous disposez d’une belle photographie de son action et souvent de beaucoup d’informations sur qui il est. 

 

Un trou dans la carapace de nos systèmes. 

Pour rappel, Log4J est le nom d’une fonctionnalité JAVA connue des spécialistes et sur laquelle une vulnérabilité majeure a été identifiée ces derniers jours. Cette vulnérabilité est d’autant plus importante que la fonctionnalité en question et sa librairie associée sont très largement répandues dans les entreprises. Par ailleurs, cette fonctionnalité open-source est souvent embarquée dans des logiciels, des outils et des objets connectés sans pour autant que le propriétaire de ce composant soit au courant. Il en résulte un nombre de vulnérabilités très important dans des entreprises qui ne sont pour la plupart pas conscients de la présence de telles « bombes à retardement ».

 

Concernant l’origine de la vulnérabilité, de deux choses l’une : soit Log4J relève d’une erreur de développement. Soit il relève d’une volonté délibérée d’introduire une porte d’entrée dérobée dans un logiciel largement répandu. Dans ce cas, cela signifie que quelqu’un avait connaissance de cette faille depuis bien longtemps. Ce qui pourrait lui avoir laissé un temps d’avance pour prendre la main dans de nombreux systèmes. 

Mais finalement peu importe : qu’il s’agisse d’une erreur de développement ou d’une intention de nuire, le mal est fait et laisse désormais la possibilité à tous les hackers en herbe ou chevronnés d’affuter lors propres outils pour exploiter le plus efficacement possible le trou laissé béant à de nombreux endroits. 

 

À ce jour, il existe donc un trou dans la carapace de très nombreux systèmes et les organisations du monde entier sont mises au défi de les recenser et de les boucher le plus vite possible. Elles sont d’autant plus sous pression que de nombreux groupes de cybercriminels, qu’ils soient étatiques, proches d’Etats ou privés (appâtés par le gain), ont depuis l’annonce de cette vulnérabilité multiplié les attaques. Les experts de Microsoft ont par exemple repéré de activités émanant d’Hafnium, groupe connu localisé en Chine, mais également d’attaquants nord-coréens ou iraniens. Des botnets se sont emparés de Log4J, de même que des affiliés d’opérateurs de rançongiciels. Au total, nous avons recensé une soixantaine de type d’attaques et des dizaines de millions de tentatives à ce jour.…

 

Une vulnérabilité en train d’être exploitée

Qu’est-il donc en train de se passer ? Des individus malveillants sont actuellement en train d’exploiter la vulnérabilité Log4J. Tous les systèmes sont susceptibles d’être touchés, y-compris ceux qui ne relèvent pas de la responsabilité des équipes I.T. C’est d’ailleurs là que se situe une partie du vertige provoqué par la vulnérabilité Log4J : souvent, les systèmes JAVA sont en effet embarqués sur des systèmes industriels, hors du domaine de responsabilité I.T. La faille qui vient de s’ouvrir avec Log4J est donc énorme, et les entreprises sont bien en peine d’isoler le module concerné, à chacun des endroits où celui-ci est localisé. Cela signifie qu’elles sont dans l’ignorance sur le fait d’être en train de se faire infecter ou pas. Leur crainte ? Que la porte ouverte (et dénuée de serrure) qu’est Log4J permette à des cyberattaquants de pénétrer leur système à travers une machine et de les rançonner. Le scénario est bien connu : une fois entré dans la maison, l’attaquant installe sa boite à outils (tool kit), prend la main sur la machine et installe ses propres logiciels. Le cyberattaquant peut dès lors commencer à travailler. 

 

Son premier travail consiste généralement à identifier son lieu d’atterrissage et de désigner son prochain point d’appuis. Il peut ainsi se déplacer latéralement et effacer toute trace de son arrivée initiale.

La machine porteuse de la vulnérabilité Log4J n’est alors plus le sujet et son utilisation n’est plus nécessaire à l’atteinte de l’objectif. 

 

Une solution : l’IA

Face à ce tableau, sachons faire preuve d’optimisme. Cette crise provoquée par la vulnérabilité Log4J peut être gérée par nos entreprises. Pourquoi ? Tout simplement parce que nous avons encore les moyens d’agir. Que des individus malveillants soient en train d’entrer dans les systèmes IT de nos organisations ne signifie pas que les coups qu’ils s’apprêtent à porter toucheront nécessairement leurs cibles. Parmi les outils de défense dont nous disposons actuellement, et qui ont fait d’énormes progrès ces dernières années, il y a l’Intelligence artificielle. Grâce à l’IA, nous sommes désormais en capacité de faire de l’analyse comportementale, et ainsi de repérer, à coup sûr (nous soulignons car ce point est important), tout mouvement suspect ayant cours au sein de notre architecture I.T. Nous pouvons identifier des mouvements latéraux inappropriés au moment même où les cambrioleurs sont entrés dans la maison. Nous pouvons définir en quelques secondes si le système est infecté ou pas, ce qui dans le cas de Log4J a son importance. Toute organisation publique ou privée qui le souhaite peut ainsi savoir, dès aujourd’hui, si sa carapace a été trouée ou non. Si elle l’est, cette organisation a la possibilité de parer le déclenchement de l’attaque en isolant les mouvements suspects au sein de son système.

 

Les outils d’intelligence artificielle sont probablement les seules solutions dont nous disposons face à Log4J. Ils ont l’avantage d’être connus, et leur automatisation permettra à coup sûr, en quelques secondes, de savoir si un système est infecté et qu’un attaquant a débuté sa progression. La défense pourra ainsi se déployer instantanément, et Log4J pourra rapidement être rangé au rang de mauvais souvenir. 

Partager sur:
BESOIN DE CONSEIL POUR 
OPTIMISER VOTRE SOC ?

Parce que votre sécurité compte pour nous, notre équipe d'experts vous conseille gratuitement et sans engagement.
J'ai besoin de conseil
Testez la plateforme de Vectra

Rien de plus simple que de tester la plateforme pour comprendre ses bénéfices pour votre entreprise.
Tester gratuitement
Partager L'article sur:
Ressources complémentaires

Découvrez la liste des menaces les plus communes qui surviennent dans les applications Cloud de Microsoft Office 365.

Confrontées à des menaces de plus en plus sophistiquées, les équipes de sécurité ont besoin d'une visibilité immédiate sur les cybermenaces qui pèsent sur leurs environnements.

Une chose est sûre, en matière de lutte contre les ransomwares, la réactivité et la rapidité d'intervention sont fondamentales.

Notre équipe est à votre écoute
Contactez-nousDemandez une démo