Une faille de sécurité qui fait peur !
Rédigé par Jean-Yves Moyon
Aucun commentaire
Classé dans : La cyber-sécurité
Pour bien comprendre, il s'agit d'une bibliothéque Log4j, permettant au programmeur de mettre en place des journaux sur ces serveurs.
Cette Api ou bibliothèque est très utilisée pour surveiller les serveurs Web (dans un environnement Apache)
Cette faille est suffisamment importante pour que le Centre Gouvernemental de veille, d'alerte et de réponse aux attaques Informatiques (CERT) publie un article sur ce sujet.
Concrètement, un pirate peut s'introduire, via cette faille, sur les serveurs sans être obligé de s'identifier.Le sujet est suffisamment pris au sérieux, notamment par le Québec et l'Ottawa qui ont fermé plusieurs serveurs accessibles de l'extérieur.
Ce programme fait partie des logiciels libre dit "Open Source" et est très utilisé dans le développement d'application Java.J2EE.
Ces applications se retrouvent sur des serveurs Web qui peuvent héberger des données sensibles : nominatives, carte bancaire, numéro de téléphone, adresse mail, etc ..
Si vous avez enregistré votre carte bancaire sur des sites marchand, il serait préférable de la supprimer de vos comptes.
Pour mesurer l'importance de cette faille, il suffit de faire une recherche "Log4Shell" sur Bing par exemple, et vous trouverez ce résultat.
Et surveiller votre messagerie, en n'ouvrant que les mails dont vous connaissez l'émetteur.
Je suis ce dossier .. avec peut-être des infos complémentaires dans un prochain article.
Bonne continuation et restez prudents !