Log4Shell : une faille de sécurité 0-day qui touche iCloud (màj : Apple a corrigé)

icloud drive iconeUne nouvelle faille de sécurité appelé "Log4Shell" donne du fil à retordre aux administrateurs systèmes des grandes entreprises technologiques. Lorsqu'elle est exploitée, la vulnérabilité permet aux pirates d'exécuter du code malveillant sur des serveurs distants, et elle peut apparemment affecter des plateformes telles qu'iCloud d’Apple ou Steam de Valve notamment.

Une librairie java est en cause

Comme l'explique la société de sécurité LunaSec, la vulnérabilité a été découverte pour la première fois dans log4j, une bibliothèque open-source utilisée par de nombreuses applications et sites Web pour la journalisation - qui consiste à conserver une liste des activités effectuées afin de les examiner ultérieurement pour corriger des bogues ou d'autres erreurs.

icloud header

Selon le chercheur en sécurité Marcus Hutchins, Log4Shell pourrait affecter des millions d'applications dans le monde, car la bibliothèque log4j est largement utilisée par les développeurs Java. Pour exploiter la vulnérabilité, les pirates doivent enregistrer une chaîne de caractères spéciale dans les logs.

Pour exploiter la vulnérabilité, un pirate doit amener l'application à enregistrer une chaîne de caractères spéciale dans le journal. Étant donné que les applications enregistrent couramment un large éventail d'événements - tels que les messages envoyés et reçus par les utilisateurs, ou les détails des erreurs système - la vulnérabilité est exceptionnellement facile à exploiter et peut être déclenchée de diverses manières.


L'exploit Log4Shell a récemment été observé sur des serveurs Minecraft où des pirates ont utilisé la vulnérabilité par le biais de messages de chat. LunaSec affirme que le système iCloud d'Apple est également vulnérable à ce nouvel exploit. Les attaquants peuvent même déclencher le code malveillant par le biais de codes QR, ce qui rend l'exploit encore plus dangereux.

Si Valve a expliqué travaillé dessus, Apple n’a pas fait de commentaire, mais il est certain que toutes les sociétés s'efforcent toutes de remédier à ce problème.

Apple corrige rapidement

Mise à jour du 14/12/21 :

iCloud était l'un des services vulnérables à l'exploit, et Apple, Microsoft et d'autres l'ont rapidement corrigé.

Les chercheurs ont pu démontrer la vulnérabilité lors de la connexion à iCloud via le Web les 9 et 10 décembre, la même vulnérabilité n'ayant plus fonctionné le 11 décembre. L'exploit ne semble pas avoir affecté macOS.

De même, la vulnérabilité a été exploitée dans Minecraft avant que Microsoft ne l'a corrigée au cours du week-end.

D'après plusieurs spécialistes, la faille avait été "entièrement armée" et des outils étaient facilement disponibles pour l'exploiter.

L'Apache Software Foundation, qui dirige le projet, l'a évalué à 10 sur son échelle de risque en raison de la facilité avec laquelle il pourrait être exploité et de la nature généralisée de l'outil. Le PDG de la société de cybersécurité Tenable Amit Yoran l'a qualifié de "la vulnérabilité la plus grande et la plus critique de la dernière décennie".

Pour aller plus loin

Vous aimerez peut-être


Suivez-nous avec notre app iSoft
Donner votre avis
Si vous avez besoin d'aide sur un autre sujet, rendez-vous sur notre Forum iPhone.

 





Les réactions

2 Medhi (rédacteur)

13/12/2021 à 11h49 :

@henri195925 - iPhone :
Oui, c'est possible en ajoutant quelques vérifications dans la librairie ou en changeant de librairie. Il faudra une mise à jour côté serveur dans tous les cas.

1 henri195925 - iPhone

13/12/2021 à 10h50 :

Est ce que ce type de faille est corrigeable ?