Faille Log4shell : quel est le problème, et quelles sont les solutions? 

Dès vendredi 10 décembre, des chercheurs en informatique ont alerté publiquement sur la découverte d’une faille aux conséquences potentielles très graves. Cette faille touche Apache Log4j, une bibliothèque Java particulièrement répandue dans les systèmes informatiques à travers le monde. Nous faisons le point sur cette crise qui a mobilisé les services TI du monde entier, dont ceux de Tink, depuis le 10 décembre.

La faille Log4Shell

Le branle-bas de combat mondial vient du fait que cette faille concerne des vulnérabilités qui n’avaient pas été recensées, et qui n’avait donc pas de correctif existant au moment de sa découverte. 
Le risque? Qu’un pirate informatique s’infiltre dans les systèmes concernés, en exécutant un code à distance sans besoin d’authentification, et puisse accéder à des serveurs normalement inaccessibles de l’extérieur. Vol de données, paralysie des systèmes, blocage d,un site ou d’une applications.. les risques sont réels, graves et nombreux.

Une faille d’ampleur mondiale

La liste des instances concernées par la faille est vertigineuse, due à la popularité du langage Java dans les systèmes informatiques. Minecraft, Apple, Netflix, Amazon, Cisco, Microsoft, Steam, Github, certains services Google ou des logiciels d’IBM sont par exemples exposés à cette faille. 
Au Québec, le gouvernement n’a pas pris de risques : 3992 sites et services ont été fermés, le temps de scanner l’ensemble des outils, afin de déterminer l’ampleur de la menace et, le cas échéant, d’apporter des correctifs. De nombreuses entreprises Québécoises sont également concernées.

Les solutions

Le plan pour pallier à cette faille est simple sur le papier, mais titanesque dans les faits: 

• Analyser les systèmes pour identifier ceux qui sont concernés par la faille
• Trouver le bon correctif pour solutionner le problème. 

Éric Caire, notre ministre à la Transformation numérique, a résumé l’ampleur de la tâche pour identifier les systèmes concernés : 

« On cherche un peu une aiguille dans une botte de foin, je ne vous le cache pas ! Excusez l’expression, mais il faut scanner l’ensemble de nos systèmes, parce qu’on n’a pas un inventaire. C’est comme dire combien de pièces dans tous les immeubles du gouvernement du Québec utilisent des ampoules 60 watts. Je ne le sais pas. Donc on fait le tour des pièces et on fait le tour des ampoules pour savoir si c’est une 60 watts. C’est un travail de moine. »

Les équipes de l’Apache Software Fondation ont développé un patch en catastrophe pour corriger la vulnérabilité des dernières versions. Mais ça n’est pas une solution miracle, tant la liste des logiciels concernés est longue. L’enjeu ici est bien la popularité de Java, et le nombre très important de services et de sous-services qui utilisent Log4j. Il peut être également difficile d’identifier la vulnérabilité réelle des logiciels. 

Les équipes de Tink mobilisées

Dès vendredi et les premières communications sur la faille Log4Shell, les équipes de Tink se sont mobilisées pour s’assurer que les systèmes de nos clients étaient en sécurité. Nous avons analysé durant la fin de semaine les outils potentiellement sensibles, et, pour les rares cas présentant un risque, travaillons directement avec les équipes internes pour corriger cette faille. 

La sécurité de nos clients est une priorité pour Tink, et nos équipes de support sont disponibles en continu pour assurer le fonctionnement optimal des systèmes que nous développons. Un enjeu comme celui de Log4Shell représente un cas typique de « crise » où nos experts accompagnent nos partenaires dans la recherche et la mise en place de la meilleure solution possible.