Accueil » sécurité

sécurité

faille de sécurité

Les entreprises s’empressent de corriger les failles des logiciels après l’avertissement d’une agence américaine

Les grandes entreprises mondiales sont sous pression pour corriger ce que les experts appellent l’une des plus graves failles logicielles de l’histoire moderne.

La faille dans le logiciel Log4j pourrait permettre aux pirates d’accéder sans entrave aux systèmes informatiques et a suscité un avertissement urgent de l’agence de cybersécurité du gouvernement américain.

Les plus grandes entreprises ont déjà réagit

Microsoft et Cisco ont publié des avis sur cette faille, et les développeurs de logiciels ont publié un correctif à la fin de la semaine dernière. Mais pour trouver une solution, il faut que des milliers d’entreprises mettent en place le correctif avant qu’il ne soit exploité.

« Il s’agit probablement de la pire faille de sécurité de ces dix dernières années, voire plus », a déclaré M. Charles Carmakal, directeur technique de la société de cybersécurité Mandiant. Il a déclaré que Mandiant avait reçu des demandes d’aide de plusieurs grandes entreprises au cours des derniers jours.

L’équipe chargée de la sécurité des nuages du groupe Alibaba a récemment découvert la faille, selon la fondation Apache Software Foundation, qui gère Log4j. La vulnérabilité permet effectivement aux pirates de prendre le contrôle d’un système. Comme le code informatique défectueux est intégré à toutes sortes de logiciels, sa mise à jour est un processus laborieux.

« Pour être clair, cette vulnérabilité présente un risque grave », a déclaré Mme Jen Easterly, directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), dans un communiqué vendredi 10 décembre. Les fournisseurs « doivent immédiatement identifier, atténuer et corriger le large éventail de produits utilisant ce logiciel », a-t-elle ajouté.

VMWare, qui fabrique des logiciels de virtualisation d’ordinateurs, a déclaré jeudi que plusieurs de ses produits étaient probablement affectés par Log4j, basé sur Java.

Une faille majeure

M. Amit Yoran, directeur général de Tenable, qui fabrique des logiciels d’analyse de vulnérabilité très répandus, a déclaré que la faille Log4j est tellement omniprésente que, parmi les clients utilisant les produits d’analyse de Tenable, au moins trois systèmes par seconde signalent qu’ils sont affectés.

« Nous prenons des mesures urgentes pour atténuer cette vulnérabilité et détecter toute activité menaçante associée », a déclaré Mme Easterly, ajoutant que la CISA a catalogué la vulnérabilité, exigeant des agences civiles fédérales américaines qu’elles la corrigent rapidement.

À la date de samedi, l’agence n’a pas identifié de compromission dans les systèmes fédéraux.