Log4shell : vers un problème à l’allure endémique

Le Cyber Safety Review Board (CSRB – Commission d’examen de la sécurité) du département de la Sécurité intérieure des États-Unis, qui était en charge de réaliser une enquête sur la portée de la faille de sécurité Log4shell, découverte vers la fin de l’année 2021, n’a pas véritablement de bonnes nouvelles.

Selon l’organe étatique, cette faille de sécurité restera un danger pendant encore beaucoup d’années à venir. Selon son rapport, les efforts cumulés des organisations publiques et même privées dans le but de protéger leur réseau de cette vulnérabilité n’a pas empêché qu’elle devienne un problème endémique. Ce qui signifie que dans plusieurs années encore, les outils logiciels qui contiennent les références à log4j vont demeurer utilisé dans beaucoup de technologies en circulation.

Cet article va aussi vous intéresser : Faille de sécurité : après Log4Shell, une vulnérabilité critique encore découverte

Le Cyber Safety Review Board est un organe créé par le président du Baiden l’année dernière dans le but d’avoir une approche nouvelle de la sécurité informatique du gouvernement. C’est dans ce contexte que lui a été confiée une certaine analyse de la vulnérabilité en circulation. Cela implique un panel de près de 15 personnes qui ont été missionnés pour étudier la fameuse faille de sécurité Log4shell.

Selon Rob Silvers, le sous-secrétaire à la politique du département de la sécurité intérieure et par ailleurs le président du panel a signifié que : « les membres du conseil d’administration ont mené des entretiens avec environ 80 organisations et se sont entretenus avec des experts de l’industrie, des gouvernements étrangers et du domaine de la cybersécurité pour obtenir des informations. La commission a également parlé avec des représentants du gouvernement chinois, car c’est un ingénieur d’Alibaba – l’un des plus grands fournisseurs d’infonuagique chinois – qui a initialement découvert et signalé la vulnérabilité de l’outil logiciel open source. ».

À l’issue de ses investigations et analyse, la Commission a été en mesure de faire 19 recommandations que les organisations sont encouragées à suivre dans le but d’améliorer leur sécurité face à la vulnérabilité.

Selon le rapport du Cyber Safety Review Board : « il faudrait relever la barre de la sécurité au sein de la cybercommunauté », en particulier « dans le domaine open source où les développeurs de logiciels disposent de ressources limitées et travaillent bénévolement », comme l’a signifié Heather Adkins, la vice-présidente de Google en charge de l’ingénierie de la sécurité et aussi vice-présidente du panel.

À l’issue de cette enquête réalisée par le Cyber Safety Review Board, il a été fait plusieurs constats à savoir qu’il était fait énormément de compromis lorsqu’il était question du développement, de la maintenance mais aussi de la réponse face aux vulnérabilités de la part des développeurs de logiciels. Ce qui était notamment de nature à accroître le danger mais aussi à étendre les vulnérabilités. C’est ce qui explique notamment le problème qui a été causé par Log4shell. Car beaucoup de développeurs ont tout simplement décidé d’inclure une bibliothèque Open Source déjà disponible au lieu de développer quelque chose depuis la base.

Selon le rapport, la situation causée par la faille de sécurité de la bibliothèque Java log4j mettra clairement en évidence les failles de sécurité depuis le fondement même du développement logiciel. Cependant cette situation a permis de se rendre compte qu’il y a certains défis auxquels il faut répondre, sur lesquels repose clairement la sécurité des infrastructures à long terme. Il s’agit notamment :

– De la coordination des sources d’informations fiables avec toute l’autorité nécessaire ;

– L’atténuation à grande échelle ;

– La mesure de l’ampleur du risque ;

– Et la synchronisation de la compréhension des menaces ainsi que des actions à réaliser dans un cadre défensif.

Pour Matt Chiodi, le directeur général de la confiance chez Cerby, une entreprise spécialisée en sécurité informatique : « Log4J est l’un de ces composants logiciels qui est omniprésent et qu’on retrouve dans des applications telles qu’Apache Struts, ElasticSearch, Redis, Kafka et plusieurs autres, il n’est donc pas surprenant que le CSRB l’étiquette comme une « vulnérabilité endémique ».

Selon ces derniers, il est clairement impossible de se protéger à 100 % contre ce type de faille de sécurité. Cependant, il y a certaines attitudes à adopter dans le but de réduire les conséquences ainsi que son impact à savoir :

– La rigueur dans tout ce qui est connaissance de ses actifs informatiques ;

– Et le développement d’une architecture de vérification systématique.

Accédez maintenant à un nombre illimité de mot de passe :