Log4J : une vulnérabilité qui peut être combattue
Christophe Jolly, Directeur Régional, Europe du Sud, chez Vectra AI
Depuis plusieurs jours, la vulnérabilité Log4J défraie la chronique. Les craintes sont réelles de voir de nombreuses organisations être la proie de cyberattaques dans les jours, les semaines voire les mois à venir. Pour autant, ces solutions techniques existent pour éviter ce scénario catastrophe. Explications.
Rendue publique il y a quelques jours, la vulnérabilité d’Apache Log4J n’en finit plus de faire les gros titres de la presse – qu’elle soit spécialisée ou généraliste. Même le quotidien Le Monde a évoqué ce sujet technique lors d’un tchat. Et pour cause : la faille pourrait avoir de lourdes conséquences sur de très nombreuses organisations, qu’elles soient publiques ou privées.
Un trou dans la carapace de nos systèmes
Pour rappel, Log4J est le nom d’une vulnérabilité d’autant plus importante qu’elle s’inscrit dans une librairie embarquée du système Java. Ce dernier est particulièrement présent au sein des entreprises, et ce à l’échelle mondiale. De deux choses l’une : soit Log4J relève d’une erreur de développement, et alors cela interroge sur la façon dont il a été conçu. Soit il relève d’une cyberattaque, et alors cela signifie que quelqu’un avait connaissance de cette faille. Mais finalement peu importe : qu’il s’agisse d’une erreur de développement ou d’une intention de nuire, le mal est fait. À ce jour, il existe un trou dans la carapace de très nombreux systèmes et les organisations sont mises au défi de savoir si elles sont des proies potentielles. Elles sont d’autant plus sous pression que de nombreux groupes de cybercriminels, qu’ils soient étatiques, proches d’Etats ou privés (appâtés par le gain), ont depuis l’annonce de cette vulnérabilité multiplié les attaques. Les experts de Microsoft ont par exemple repéré de activités émanant d’Hafnium, groupe connu localisé en Chine, mais également d’attaquants nord-coréens ou iraniens. Des botnets se sont emparés de Log4J, de même que des affiliés d’opérateurs de rançongiciels. Au total, nous avons recensé une soixantaine d’attaques à ce jour…
Une vulnérabilité en train d’être exploitée
Qu’est-il donc en train de se passer ? Des individus malveillants sont actuellement en train d’exploiter la vulnérabilité Log4J. Tous les systèmes sont susceptibles d’être touchés, y-compris ceux qui ne relèvent pas de l’architecture IT. C’est d’ailleurs là que se situe une partie du vertige provoqué par la vulnérabilité Log4J : souvent, les systèmes Java sont en effet embarqués sur des systèmes industriels, hors du domaine de responsabilité IT. La faille qui vient de s’ouvrir avec Log4J est donc énorme, et les entreprises sont bien en peine d’isoler le module concerné, à chacun des endroits où celui-ci est localisé. Cela signifie qu’elles sont dans l’ignorance sur le fait d’être en train de se faire infecter ou pas. Leur crainte ? Que la porte ouverte (et dénuée de serrure) qu’est Log4J permette à des cyberattaquants de pénétrer leur système à travers une machine et de les rançonner. Le scénario est bien connu : une fois entré dans la maison, l’attaquant installe sa boite à outils (tool kit), prend la main sur la machine et installe ses propres logiciels. Le cyberattaquant peut dès lors commencer à travailler. Il se demande où il a atterri, qui sont les administrateurs, où sont les serveurs… Il prospecte et s’attache à prendre la mesure de son environnement. Lorsqu’il en est à ce stade, il est en capacité de revendre son accès à quelqu’un qui saura mieux l’exploiter que lui… à moins qu’il ne soit capable d’aller lui-même au bout de sa démarche. En quelques jours, une attaque peut donc être déclenchée, des données captées, et une rançon demandée… Ce n’est qu’une question de temps.
Une solution : l’IA
Face à ce tableau, sachons faire preuve d’optimisme. Cette crise provoquée par la vulnérabilité Log4J peut être gérée par nos entreprises. Pourquoi ? Tout simplement parce que nous avons encore les moyens d’agir. Que des individus malveillants soient en train d’entrer dans les systèmes IT de nos organisations ne signifie pas que les coups qu’ils s’apprêtent à porter toucheront nécessairement leurs cibles. Parmi les outils de défense dont nous disposons actuellement, et qui ont fait d’énormes progrès ces dernières années, il y a l’Intelligence artificielle. Grâce à l’IA, nous sommes désormais en capacité de faire de l’analyse comportementale, et ainsi de repérer tout mouvement suspect ayant cours au sein de notre architecture IT. Nous pouvons identifier des mouvements latéraux inappropriés au moment même où les cambrioleurs sont entrés dans la maison. Nous pouvons définir en quelques secondes si le système est infecté ou pas, ce qui dans le cas de Log4J a son importance. Toute organisation publique ou privée qui le souhaite peut ainsi savoir, dès aujourd’hui, si sa carapace est trouée ou non. Si elle l’est, cette organisation a la possibilité de parer le déclenchement de l’attaque en isolant les mouvements suspects au sein de son système.
Les outils d’intelligence artificielle ne sont peut-être pas les seules solutions dont nous disposons face à Log4J. Ils ont toutefois l’avantage d’être connus, et leur automatisation permettra à coup sûr, en quelques secondes, de savoir si un système est infecté. La défense pourra ainsi se déployer instantanément, et Log4J pourra rapidement être rangé au rang de mauvais souvenir. En cette période de fêtes de fin d’année, l’un des cadeaux les plus évidents sera peut-être de vous faire offrir… un outil d’analyse comportementale réseau.