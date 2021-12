Une grave faille de sécurité dans Log4j met tout l'internet en danger, même iCloud et Steam.



Vous avez peut-être entendu parler d'une farce récente qui a fait le tour de Minecraft. En envoyant un message de chat commençant par "${jndi:ldap://", les utilisateurs pouvaient faire en sorte que le client Minecraft de leurs amis ouvre une fenêtre de navigateur et se rende sur un site Web spécifique. Naturellement, les farceurs ont envoyé leurs amis vers toutes sortes de contenus choquants et dégoûtants, dans ce qui semblait être une sorte de faille de sécurité spécifique à Minecraft.







Malheureusement pour tout le monde, il s'avère que la farce n'exploitait pas réellement une faille dans Minecraft, mais en fait dans la bibliothèque Apache Log4j que Minecraft utilise pour la journalisation. Le problème est que Minecraft n'est qu'une des milliers d'applications web et autres qui utilisent Log4j. Lorsque l'on recherche l'origine de cet exploit, il est en fait plus facile de parler de ce qui n'est pas affecté, plutôt que de ce qui l'est.



L'énorme service de distribution de jeux Steam de Valve et iCloud d'Apple ne sont que deux des services les plus connus qui ont été touchés par cet exploit, ainsi que presque tous les hébergeurs du monde. La faille est en fait un type d'exploitation extrêmement courant dans les applications Java en raison de la façon dont Java fonctionne. En effet, Java est tristement célèbre pour sa tendance à mélanger le code et les données, et si l'on ne tient pas compte de cette nature, des bugs comme celui-ci peuvent facilement survenir.







Ce qui se passe en fait dans ce cas, c'est que l'outil Log4j transforme des chaînes destinées à la journalisation en code exécutable. Si un serveur utilise Log4j pour analyser n'importe quel texte saisi par l'utilisateur, ce texte peut être formaté pour contenir une commande qui est ensuite exécutée sur la machine distante, ce qui permet à l'utilisateur d'exécuter du code à distance sur le système hôte avec tous les privilèges du système. Nous n'avons probablement pas besoin d'expliquer pourquoi c'est un énorme problème, mais juste au cas où, cela donne essentiellement à n'importe quel utilisateur un contrôle administratif total sur chaque système exécutant Log4j.



Le bogue est déjà corrigé dans la version 2.15.0 de Log4j, mais le paquet de journalisation est inclus dans un nombre incroyable d'applications, même celles auxquelles on ne s'attend pas. L'application ne doit pas nécessairement être écrite en Java pour utiliser log4j. Les développeurs d'applications tierces peuvent être lents à mettre à jour leurs logiciels et, dans certains cas, ne peuvent ne pas être conscients qu'ils incluent log4j en tant que dépendance. Si vous avez un système qui n'est pas ou ne peut pas être corrigé, il existe des solutions de contournement, que le groupe Apache détaille sur la page des vulnérabilités de sécurité ICI.



