Le Cyber Safety Review Board (CSRB), le comité d’examen pour la cybersécurité relié au département de la sécurité intérieure américaine, a révélé dans un rapport publié le 14 juillet 2022 que, malgré les efforts des spécialistes en cybersécurité, Log4j est devenue une « vulnérabilité endémique ». Cela signifie que celle-ci pourrait être utilisée par les hackeurs sur les dix prochaines années afin d’infiltrer systèmes et réseaux informatiques.

La faille Log4j, une vulnérabilité qui touche de nombreux logiciels et systèmes d’information

Découverte en novembre 2021, « Log4Shell » ou faille Log4j, impacte la librairie de log Apache du même nom, utilisée par le langage de programmation Java. Au moment de sa découverte, de nombreuses applications, services web et systèmes d’information utilisaient cette bibliothèque. Cette vulnérabilité permet d’utiliser Log4j afin d’exécuter du code non autorisé sur un serveur exploitant la librairie.

Des experts en cybersécurité ont rapidement mis à disposition un correctif pour combler cette faille de sécurité. Malheureusement, les organisations n’ont pas eu conscience assez rapidement de la dangerosité de Log4Shell et ont ignoré pendant plusieurs semaines, voire plusieurs mois, les mises à jour proposées pour patcher la faille. À noter que selon le développeur de Log4Shell, la bibliothèque a été téléchargée plusieurs millions de fois par des développeurs, des entreprises, des administrations et des organismes de tout genre.

Compte tenu de cette popularité et de la facilité avec laquelle la faille Log4j peut être exploitée, l’administration Biden avait considéré que celle vulnérabilité était l’un des plus graves jamais connues. Toutefois, dans le rapport proposé par le CSRB, aucune preuve ne permet d’affirmer qu’une attaque conséquente a été réalisée grâce à Log4j contre des infrastructures jugées critiques. Pour l’instant, seuls des systèmes et des réseaux considérés comme moins importants ont été attaqués.

Entre mai 2021 et février 2022, 6 États américains avaient été victimes d’un groupe de hackeurs chinois. Deux d’entre eux auraient exploité la faille Log4j.

Le CSRB estime qu’il faudra une décennie avant que l’ensemble des organisations aient comblé la faille

Dans son rapport, le conseil de sécurité estime que Log4j est une vulnérabilité endémique, ce qui indique qu’un risque important demeure. Les organisations exploitant les vieilles versions de Log4j resteront vulnérables tant qu’elles ne mettront pas à jour leurs systèmes. Un processus qui devrait prendre plusieurs années, voire une décennie.

Le cas Log4j est le premier pour lequel le CSRB s’est réuni. Ce comité américain a été créé au début de l’année 2022 afin d’examiner tout évènement considéré comme important en matière de cybersécurité tel que la faille Log4J.

« Jamais auparavant les leaders de la cybersécurité au sein de l’industrie et du gouvernement ne se sont réunis de cette manière pour examiner les incidents graves, identifier ce qui s’est passé et conseiller l’ensemble de la communauté sur la façon dont nous pouvons faire mieux à l’avenir », a déclaré Rob Silvers, haut responsable au sein du département de la sécurité intérieure américaine et président du CSRB.