Aux dernières nouvelles, aucun dommage significatif découlant de l’exploitation d’une vulnérabilité de l’utilitaire de journalisation Log4j n’a été observé. Aucune intrusion importante n’a été décelée jusqu’à présent. C’est du moins ce que les responsables de l’Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency ou CISA) ont confié. Tel se présente leur constat en dépit de craintes initiales d’une compromission généralisée.
Néanmoins, ceux-ci n’écartent pas la possibilité comme quoi des hackers ont probablement déjà exploité cette vulnérabilité baptisée Log4Shell afin de tracer en silence des machines ciblées. Dans quel but ? Peut-être pour préparer des attaques ultérieures. Pour le moment, la CISA affirme qu’elle mobilise tout son possible pour corriger la vulnérabilité et pour détecter toute tentative d’intrusion via celle-ci. On peut donc dire que la menace Log4j est bien contenue jusqu’à présent.
Une contraignante directive opérationnelle comme première mesure
La CISA avait prêté main-forte aux agences fédérales et au domaine privé pour maîtriser la vulnérabilité Log4Shell. Une des quatre vulnérabilités critiques du logiciel Log4j déployé à travers plusieurs centaines de millions de machines partout dans le monde.
Au moment même où cette faille fut découverte, la CISA l’a aussitôt intégré à son catalogue de vulnérabilités exploitées connues. Ce qui généra une contraignante directive opérationnelle publiée en novembre. Celle-ci oblige toutes les agences civiles à corriger en urgence leurs systèmes dès disponibilité des correctifs. Toutefois, la CISA s’est vite rendu compte qu’elle devait s’en remettre à ladite directive opérationnelle contraignante pour hiérarchiser les mesures correctives. Cela permettrait aussi de s’assurer de la mise en place de mesures d’atténuation pour les actifs technologiques pour lesquels les correctifs étaient encore indisponibles.
Pour disposer des détails des produits susceptibles de présenter des vulnérabilités issues du Log4j, la CISA a rendu public un catalogue comptant jusqu’à présent plus de 2800 soumissions. Via un service partagé de divulgation des vulnérabilités, des chercheurs en sécurité ont décelé 17 produits encore non identifiés, mais vulnérables au Log4Shell. Cependant, ceux-ci ont tous été corrigés avant une éventuelle intrusion.
Ne se limitant pas au cas du gouvernement fédéral, l’agence CISA a également alerté toutes les entreprises par le biais d’un « signal fort ». Elle leur a montré la manière de traiter les failles de Log4j en priorisant quelques domaines clés. L’objectif était de les aider à comprendre et à hiérarchiser la prévalence des bibliothèques et des composants vulnérables dans leurs environnements via des logiciels SBOM (liste d’ingrédients des bibliothèques). Ces SBOM peuvent notamment aider une entreprise à comprendre d’elle-même si elle est exposée à une vulnérabilité et à enchaîner rapidement une remédiation.
Pas d’obligation de déclaration des incidents : une mesure plutôt incommodante
Sans obligation de signalement des incidents, la CISA a sans conteste du mal à venir en aide aux entreprises non fédérales. Pour cause, l’agence ne peut pas disposer de tous les éléments nécessaires pour repérer tous incidents en rapport avec le Log4j.
En décembre 2021, on avait inclus des normes de signalement des cyberincidents dans la version de compromis du National Defense Authorization Act (NDAA). Cependant, celles-ci ont aussitôt été retirées. M. Easterly, directeur de la CISA, explique la situation en affirmant qu’aucune intrusion importante n’a été identifiée et qu’aucune alerte n’a été soulevée. Telles étaient ses propos en évoquant son inquiétude, car les acteurs de la menace Log4Shell pourraient commencer à exploiter cette vulnérabilité pour cibler des infrastructures critiques.
Pourtant, sans législation en place, aucune information sur l’état de la faille ne parviendrait à l’agence CISA.
Les systèmes de contrôle industriel de l’Internet : en stand-by !
Pour maitriser cette crise, la CISA a également imposé des mesures spécifiques pour les systèmes de contrôle industriels. Elle met en avant son expertise certifiée US-CERT (United States Computer Emergency Readiness Team) et ICS-CERT (Industrial Control System Computer Emergency Readiness Team) pour se faire entendre dans le secteur. La CISA affirme qu’elle donne son maximum pour venir en aide à des centaines de fournisseurs de composants ICS. C’est notamment le cas de ceux proposant des produits effectivement vulnérables. L’agence ajoute qu’elle désire aussi coordonner la communication avec les clients sur les mesures à prendre contre les vulnérabilités.
L’agence confie même qu’elle trouve favorable le fait que les réseaux technologiques opérationnels des entreprises d’infrastructures critiques soient totalement déconnectés d’Internet. Cela permettrait une meilleure protection contre la compromission de la vulnérabilité Log4j. Dans tous les cas, il n’est pas utile d’ouvrir ces actifs sur Internet pour des applications de systèmes de contrôle. Écarter ce facteur de menace pourrait alors réduire le risque, et pas qu’un peu.
Pas d’intrusion de ransomware pour le moment
En décembre 2021, une rumeur circulait comme quoi une attaque de ransomware exploitant la faille de Log4j avait ciblé le ministère belge de la Défense. Cependant, M. Goldstein rassure. Il n’y a aucune certitude concernant une intrusion par ransomware résultant de l’exploitation de la vulnérabilité Log4Shell à ce niveau. Ce dont on est aujourd’hui sûr, c’est que beaucoup d’intrusions par ransomware ne sont pas signalées au gouvernement américain. Celles qui ont fait l’objet de signalement ne sont généralement pas accompagnées des informations techniques permettant de comprendre quelle faille a été exploitée par le cybercriminel.
Log4Shell du Log4j : une origine toujours floue
Pour ce qui est de l’origine de la faille du Log4j, il faudra remonter jusqu’au 24 novembre 2021. Un chercheur de l’activité cloud d’Alibaba en Chine avait contacté la Fondation Apache, responsable de l’administration du framework de journalisation Java pour l’informer de l’existence de la faille. Avant même que la Fondation n’ait eu le temps de publier un correctif, le chercheur lui a communiqué le fait que des utilisateurs chinois discutaient déjà de la vulnérabilité. Ce qui démontre de part et d’autre que les pirates avaient probablement essayé de l’exploiter avant de la rendre publique.
De fait, le gouvernement chinois se positionna. Il avait suspendu son contrat avec le fournisseur de cloud Alibaba pour motif de manquement à l’obligation de signaler en temps voulu la faille logicielle Log4j2 à Pékin.
Pour ce qui est de la véracité de ces faits, la CISA affirme être dans l’incapacité de confirmer de manière indépendante ces rapports ou toute interaction entre l’État chinois et ledit chercheur.