L’Internet est en feu » alors que les techniciens s’empressent de corriger une faille logicielle.
BOSTON — Une vulnérabilité logicielle exploitée dans le jeu en ligne Minecraft apparaît rapidement comme une menace majeure pour les appareils connectés à Internet dans le monde entier.
« L’internet est en feu en ce moment », a déclaré Adam Meyers, vice-président senior de l’intelligence de la société de cybersécurité Crowdstrike. « Les gens se bousculent pour patcher et il y a des script kiddies et toutes sortes de gens qui se bousculent pour l’exploiter ». Il a déclaré vendredi matin que, dans les 12 heures qui ont suivi la divulgation de l’existence du bogue, celui-ci avait été « entièrement militarisé », ce qui signifie que les malfaiteurs ont développé et distribué des outils pour l’exploiter.
Cette faille pourrait être la pire vulnérabilité informatique découverte depuis des années. Elle ouvre une faille dans un code logiciel omniprésent dans les serveurs en nuage et les logiciels d’entreprise utilisés dans l’industrie et les administrations. Elle pourrait permettre aux criminels ou aux espions de piller des données précieuses, d’implanter des logiciels malveillants ou d’effacer des informations cruciales, et bien plus encore.
« J’aurais du mal à trouver une entreprise qui ne soit pas menacée », a déclaré Joe Sullivan, responsable de la sécurité chez Cloudflare, dont l’infrastructure en ligne protège les sites Web des acteurs malveillants. Des millions de serveurs l’ont installé, et les experts ont déclaré que les retombées ne seraient pas connues avant plusieurs jours.
Amit Yoran, PDG de la société de cybersécurité Tenable, a déclaré qu’il s’agissait de « la vulnérabilité la plus importante et la plus critique de la dernière décennie », voire de la plus importante de l’histoire de l’informatique moderne.
La vulnérabilité, baptisée « Log4Shell », a été notée 10 sur une échelle de 1 à 10 par l’Apache Software Foundation, qui supervise le développement du logiciel. Toute personne possédant l’exploit peut obtenir un accès complet à un ordinateur non corrigé qui utilise le logiciel,
L’équipe néo-zélandaise d’intervention en cas d’urgence informatique a été l’une des premières à signaler que la faille était « activement exploitée dans la nature », quelques heures seulement après qu’elle ait été signalée publiquement jeudi et qu’un correctif ait été publié.
La vulnérabilité, située dans le logiciel open-source Apache utilisé pour exécuter des sites Web et d’autres services Web, a été découverte le 24 novembre par le géant technologique chinois Alibaba, a déclaré la fondation.
Trouver et corriger le logiciel pourrait être une tâche compliquée. Alors que la plupart des organisations et des fournisseurs de services en nuage devraient être en mesure de mettre à jour leurs serveurs Web facilement, le même logiciel Apache est souvent intégré dans des programmes tiers, qui ne peuvent souvent être mis à jour que par leurs propriétaires.
Yoran, de Tenable, a déclaré que les organisations doivent présumer qu’elles ont été compromises et agir rapidement.
L’exploitation de la faille a apparemment été découverte pour la première fois dans Minecraft, un jeu en ligne extrêmement populaire auprès des enfants et appartenant à Microsoft.
Meyers et l’expert en sécurité Marcus Hutchins ont déclaré que les utilisateurs de Minecraft l’avaient déjà utilisée pour exécuter des programmes sur les ordinateurs d’autres utilisateurs en collant un court message dans une boîte de discussion.
Microsoft a déclaré avoir publié une mise à jour logicielle pour les utilisateurs de Minecraft. « Les clients qui appliquent le correctif sont protégés », a-t-il déclaré.
Des chercheurs ont déclaré avoir trouvé des preuves que la vulnérabilité pouvait être exploitée dans des serveurs gérés par des sociétés telles que Apple, Amazon, Twitter et Cloudflare.
Sullivan de Cloudflare a déclaré que rien n’indiquait que les serveurs de sa société avaient été compromis. Apple, Amazon et Twitter n’ont pas répondu immédiatement aux demandes de commentaires.