Techno

Faille de sécurité « Les entreprises aussi devraient fermer leurs sites »

PHOTO DAMIAN DOVARGANES, ARCHIVES ASSOCIATED PRESS

De grandes entreprises comme Apple, Tesla et Microsoft – dans son jeu Minecraft – ont confirmé être vulnérables à la faille Log4Shell, qui a par ailleurs forcé de nombreux organismes et gouvernements à suspendre l’accès à leurs sites.

Les entreprises sont loin d’être à l’abri de la faille de sécurité qui a forcé des gouvernements partout dans le monde, dont Québec et Ottawa, à fermer leurs sites. Mais la majorité d’entre elles risquent de ne même pas savoir qu’elles sont vulnérables, préviennent des experts consultés par La Presse.

Publié le 13 déc. 2021

Karim Benessaieh La Presse

« C’est toujours ça le problème, j’appelle ça la chaîne d’incompétence, déplore Eric Parent, PDG d’EVA Technologies, une firme montréalaise de cybersécurité. Tu demandes à tes gens de l’informatique qui ne sont pas ferrés, ils vont dire que tu ne l’as pas, ce logiciel. Et dans trois mois, tu apprends que tu l’avais. »

Depuis vendredi, la firme de M. Parent a effectué des vérifications préliminaires chez une quarantaine de ses clients, sur une centaine au total. « Ils l’ont tous. Jusqu’à maintenant, il n’y en a pas un qui ne l’a pas. »

« Les entreprises aussi devraient fermer leurs sites en attendant de savoir », estime-t-il.

Journaux contaminés

Contrairement aux failles de sécurité classiques, qui touchent essentiellement un produit précis, comme Microsoft Server Exchange le printemps dernier, « Log4Shell » concerne un outil développé en code source ouvert. Développée par la fondation Apache, la bibliothèque Java Log4j a été intégrée à des milliers de plateformes et de logiciels et installée sur des millions de serveurs. Elle permet essentiellement de produire des journaux d’activités, des « logs ».

La vulnérabilité consiste en une simple ligne de code qu’un cyberpirate peut coller dans un formulaire sur le web et qui permet de prendre le contrôle du serveur. Il peut ensuite y installer des logiciels malicieux ou récupérer des données personnelles.

La vulnérabilité a été découverte le 24 novembre par un informaticien du géant chinois du commerce électronique Alibaba, Chen Zhaojun. Un correctif a été publié le 6 décembre. Mais ce n’est qu’à partir du 9 décembre que la plupart des experts dans le monde ont appris son existence. Depuis, de grandes entreprises comme Apple, Tesla et Microsoft – dans son jeu Minecraft – ont confirmé être vulnérables à cette faille, qui a par ailleurs forcé de nombreux organismes et gouvernements à suspendre l’accès à leurs sites.

Il s’agirait de la pire faille informatique de l’histoire. Au moment d’écrire ces lignes, on n’avait pas encore confirmé si elle avait déjà été exploitée par des cybercriminels.

Recherche de victimes

Chez ESET, une entreprise de cybersécurité établie en Slovaquie qui a ouvert un bureau à Montréal, on confirme enquêter sur cette vulnérabilité depuis le 10 décembre et avoir publié un correctif le lendemain pour les 20 produits de l’entreprise. Fait troublant, on a relevé dès le 11 décembre des attaques utilisant cette faille, qui ont été bloquées.

Il est peu probable qu’il s’agissait d’attaques ciblées, indique Marc-Etienne Léveillé, chercheur sénior en logiciels malveillants chez ESET.

Plusieurs scannent tout l’internet pour trouver des victimes potentielles, pour recenser l’étendue du problème, établir une liste de systèmes vulnérables pour revenir les exploiter par la suite.

Marc-Etienne Léveillé

Les premières indications, révèle-t-il, font état de groupes de cyberpirates dont le principal objectif est d’installer des logiciels sur les ordinateurs de leurs victimes pour miner des cryptomonnaies.

Savoir si les serveurs d’une entreprise utilisent la bibliothèque Java Log4j peut être une tâche colossale, voire impossible pour de petites entreprises. Au Québec, le ministre délégué à la Transformation numérique, Éric Caire, l’a comparée au fait de trouver « combien de pièces dans tous les immeubles du gouvernement du Québec utilisent des ampoules 60 watts ».

Questionné lundi au sujet de la cyberattaque, le premier ministre François Legault a réitéré qu’aucune donnée personnelle n’était en jeu, mais que « c’est un risque qu’on est en train de corriger pour s’assurer qu’il n’y ait pas de gens avec des mauvaises intentions qui utilisent ça pour rentrer dans nos réseaux. On va les garder fermés jusqu’à tant que les corrections soient faites », a-t-il dit en parlant des plateformes numériques du gouvernement du Québec.

Log4j n’est pas un logiciel en tant que tel, mais un outil qu’on greffe à des systèmes existants. Et comme il s’agit de code source ouvert, aucune entreprise en informatique ne dispose d’une liste exhaustive de ses utilisateurs, qui se chiffrent vraisemblablement en millions.

« On le trouve sur n’importe quel système, ça se peut très bien que tu ne saches même pas qu’il est installé dans ton entreprise, estime Eric Parent. Il faudrait que ce soit le manufacturier qui te prévienne que ce type précis d’équipement a cette vulnérabilité. »

La faille pourrait même toucher le simple consommateur, s’il possède par exemple des disques durs réseau ou des webcams dont les interfaces génèrent des journaux d’activités, prévient Eric Parent.

Se protéger… ou fermer

Les entreprises qui ont confié la gestion de leur réseau informatique à de grandes entreprises infonuagiques peuvent raisonnablement considérer que leur fournisseur s’est protégé, note-t-il. « Je ne suis pas un grand fan du cloud, mais ce sont des compagnies qui ont des milliers de personnes qui s’occupent de sécurité. »

Pour les autres, une révision complète du réseau informatique, par des employés ou des firmes externes spécialisées, s’impose. Mais la simple mise à jour d’un outil comme Log4j, qui permettrait d’éliminer la vulnérabilité, n’est pas à la portée de tous, prévient Marc-Etienne Léveillé. « Ce serait la meilleure chose à faire. Mais dans certains cas, ça fait partie d’un système qui n’a pas été mis à jour, lui. »

En attendant de faire ces vérifications, et s’il est impossible de fermer temporairement les serveurs, Eric Parent conseille de modifier certaines configurations, notamment en arrêtant la mise à jour des journaux d’activités. « Là, au moins, la faille ne peut être exploitée. Sinon, tu restes sans rien faire et tu attends de te faire avoir. »

Avec la collaboration d’Henri Ouellette-Vézina, La Presse

Techno En continu

Techno

Menace de bannir l’application TikTok porte plainte contre les États-Unis

(San Francisco) TikTok et sa société mère chinoise ByteDance ont porté plainte mardi contre les États-Unis, estimant que la loi qui pose un ultimatum à la populaire plateforme de vidéos, et risque de la bannir du pays l’année prochaine, est « inconstitutionnelle ».

Publié à 16h57
Techno

Menace de bannir l’application TikTok porte plainte contre les États-Unis

(San Francisco) TikTok et sa maison mère chinoise ByteDance ont porté plainte mardi contre les États-Unis, estimant que la loi qui pose un ultimatum à la populaire plateforme de vidéos, et risque de la bannir du pays l’année prochaine, est « inconstitutionnelle ».

Publié à 12h38
Techno

Jeu vidéo Nintendo promet une annonce sur le successeur de la Switch d’ici fin mars 2025

(Tokyo) Le japonais Nintendo a annoncé mardi que des informations sur le très attendu successeur de sa console Switch, âgée de plus de sept ans, seront communiquées d’ici fin mars 2025, tout en livrant de nouvelles prévisions financières extrêmement prudentes.

Publié à 6h32
Techno

Sony forcé de faire machine arrière face à la révolte des joueurs de Helldivers 2

(Paris) En voulant imposer aux joueurs PC de « Helldivers 2 », un jeu de tir coopératif très populaire, de s’inscrire sur son service en ligne Playstation Network, le géant du jeu vidéo Sony a provoqué une fronde qui l’a poussé à revenir sur sa décision.

Publié hier à 8h57
Techno

États-Unis Des démocrates critiquent la politique publicitaire de Meta

(Atlanta) Plusieurs démocrates ont envoyé une lettre à la société mère de Facebook, lui demandant de cesser d’autoriser les publicités prétendant que l’élection présidentielle de 2020 a été volée.

Publié le 3 mai
Techno

Vie numérique Clins d’œil

Quelques bits de l’actualité numérique

Mis à jour le 1^er mai
Techno

Robots tueurs Le « moment Oppenheimer » de l’intelligence artificielle

Si les gouvernements souhaitent contrôler l’émergence d’une nouvelle génération de machines de mort dotées d’intelligence artificielle (IA), il est minuit moins une. C’est l’avertissement qui leur a été lancé lundi.

Mis à jour le 1^er mai
Techno

Vie numérique Le grand ménage techno du printemps

Il n’y a pas que le garage ou la cour qui ont besoin d’un bon ménage du printemps. Vos appareils, particulièrement les ordinateurs, les téléphones et plus globalement votre réseau internet, méritent de temps en temps quelques soins pour retrouver leur rapidité. Voici neuf conseils, trois pour chaque département, récoltés auprès de connaisseurs.

Mis à jour le 1^er mai
Techno

Beats Solo 4 Le compromis chirurgical de D^rDre

Le casque d’écoute Beats Solo 4 a de quoi rendre perplexes les critiques. Totalement intégré à l’écosystème Apple, il est remarquable par sa portabilité, son autonomie de 50 heures et la précision du son. Mais cette précision confine à la sécheresse, il n’est pas recommandé dans des environnements bruyants et sa configuration est minimale.

Publié le 30 avril
Techno

Sonicare DiamondClean Smart 9350 Un mentor pour les dents

Sans être aussi bardée de fonctions que ses rivales haut de gamme d’Oral-B, la brosse à dents électriques Sonicare DiamondClean Smart 9350 a quelques atouts bien à elle : un brossage guidé, des avertissements clairs pour les étapes et, coquetterie, un socle-chargeur en forme de verre.

Publié le 29 avril
$Qui pourrait acheter TikTok ? ¯\_(ツ)_/¯$

Techno

Qui pourrait acheter TikTok ? ¯\_(ツ)_/¯

La loi signée mercredi par le président Biden donne à TikTok un an pour trouver un propriétaire non chinois, sous peine d’être interdit aux États-Unis. Cet ultimatum au propriétaire de TikTok, le géant techno chinois ByteDance, semble simple. Mais ce n’est pas le cas. Voici trois questions auxquelles il n’y a pas de réponse claire.

Mis à jour le 27 avril
01:16

Techno

Le fabuleux destin de Kabosu, chienne star emblème du dogecoin

(Sakura) La chienne d’Atsuko Sato est devenue mondialement célèbre avec une photo qui a inspiré une vague de blagues décalées en ligne et l’emblème du dogecoin, une cryptomonnaie créée à l’origine pour plaisanter, mais dont Elon Musk s’est entichée.

Publié le 26 avril
Techno

Les États-Unis rétablissent l’accès égalitaire à internet, aboli par Trump

(Washington) L’autorité américaine des télécoms a décidé jeudi de rétablir le principe de « neutralité du net », qui garantit l’accès égalitaire à internet et que l’administration Trump avait aboli.

Publié le 25 avril
Techno

Critique de la Kobo Libra Colour En couleur et en autonomie

Pour la première fois en près de 14 ans, Kobo lance une liseuse couleur, la Libra Colour, avec une autonomie nettement améliorée. On ne confondra pas son processeur avec celui d’un iPad, mais l’évolution est notable.

Publié le 25 avril
Techno

Vie numérique Clins d’œil

Quelques bits de l’actualité numérique

Mis à jour le 24 avril
Techno

Union européenne TikTok Lite suspend ses récompenses accusées de susciter la dépendance

(Bruxelles) Le réseau social TikTok a annoncé mercredi qu’il suspendait « volontairement » la fonction de sa nouvelle application TikTok Lite qui récompense les utilisateurs pour le temps passé devant les écrans, accusée dans l’UE de susciter la dépendance.

Mis à jour le 24 avril