Les alertes se multiplient ces derniers jours au sujet d’une nouvelle faille découverte dans un tout petit sous-logiciel d’apparence innocente mais qui est utilisé par des centaines de millions, voire des milliards de sites Internet dans le monde.
C’est comme un tsunami qui déferle sur l’Internet pour les uns, ce serait la « pire faille de la décennie » voir de « l’histoire du Net » pour d’autres. Les experts en sécurité informatique rivalisent de superlatifs pour évoquer la découverte d’une vulnérabilité qui pourrait affecter des centaines de millions, voire plus d’un milliard, de sites Internet et de serveurs dans le monde.
Même la Cybersecurity and Infrastructure Security Agency (CISA, l’agence américaine de protection contre les menaces informatiques) en a fait une menace de rang 10, c’est-à-dire le niveau d’alerte maximal. « C’est l’une des failles les plus sérieuses, voire la plus sérieuse, à laquelle j’ai été confrontée depuis le début de ma carrière », a reconnu Jennifer Easterly, directrice de la CISA, lors d’un point-presse lundi 13 décembre. Des alertes ont été émises par presque toutes les agences nationales de sécurité informatique, y compris l’Anssi en France.
D’Apple à l’hélicoptère de la Nasa sur Mars
Le responsable de ce mouvement de panique mondiale s’appelle Log4j. Il s’agit d’un petit sous-logiciel dont la seule raison d’être est de « tenir un journal automatisé des visites vers un site », explique Philippe Rondel, chercheur en sécurité informatique pour Check Point, un éditeur international de solutions de cybersécurité, contacté par France 24. Une tâche plutôt anodine et, en effet, « c’est typiquement un petit bout de programme dont on n’aurait jamais cru qu’il allait présenter un risque », ajoute cet expert.
