Selon l’autorité allemande de sécurité informatique BSI, un point faible dangereux d’un logiciel serveur très utilisé n’a pas encore de conséquences immédiates pour les consommateurs.
« Les téléphones portables et les iPad n’ont pas encore été touchés par cela, il faut être très clair », a déclaré le président de l’Office fédéral de la sécurité de l’information (BSI), Arne Schönbohm, à Bonn. Au contraire, les autorités et les entreprises sont concernées et « au final c’est le consommateur qui utilise ces services ».
BSI annonce le niveau d’avertissement rouge
Ce week-end, le BSI a annoncé le niveau d’avertissement rouge en raison d’une faille de sécurité dans une bibliothèque logicielle Java largement utilisée. La faille de sécurité peut garantir que les attaquants peuvent y exécuter des programmes malveillants dans certaines circonstances. La vulnérabilité est limitée à quelques anciennes versions de la bibliothèque appelée Log4j. Schönbohm a souligné l’urgence d’agir. Les entreprises et les autorités doivent effectuer des mises à jour dès que possible.
Des attaquants très actifs
Les criminels sont très actifs. « Nous assistons déjà à une analyse massive. » Il y a une course entre les attaquants et les défenseurs. « Ce ne sont pas les attaques ciblées, il s’agit d’entrer dans tous les domaines et d’en profiter pour pouvoir ensuite entrer à l’intérieur et installer d’autres portes dérobées avant que cet écart ne soit comblé. »
Les criminels pourraient alors profiter longtemps de ces portes dérobées. En plus des mises à jour, il a recommandé aux entreprises et aux autorités d’empêcher certaines fonctionnalités, « ce qui signifie que la possibilité d’attaque est nettement plus faible ».
Le nombre d’entreprises affectées n’est pas clair
Lorsqu’on lui a demandé combien d’entreprises étaient concernées, Schönbohm a répondu : « Vous ne pouvez pas encore le dire, nous sommes dans une phase de traitement. » Son autorité est en contact avec les autorités de sécurité informatique d’autres pays, tels que les Pays-Bas, la France et les États-Unis. Il a confirmé que des tentatives d’attentat avaient déjà eu lieu, mais n’a pas voulu donner de détails.
Vulnérabilité dans Log4j
Log4j est une bibliothèque dite de journalisation. Il est là pour enregistrer divers événements dans le fonctionnement du serveur comme dans un journal de bord – par exemple pour une évaluation ultérieure des erreurs. La vulnérabilité peut être activée simplement par le fait qu’une certaine chaîne de caractères apparaît dans le journal, par exemple via un message. Cela le rend assez facile à exploiter, ce qui a suscité une grande inquiétude chez les experts. Dans le même temps, les systèmes des grands fournisseurs ont généralement des mécanismes de protection à plusieurs niveaux.