« Si l'on compare la vulnérabilité Log4Shell à un tsunami, nous sommes encore dans la phase de séisme, et nous attendons la vague. » Voilà comment Philippe Rondel, senior security architect chez Check Point, décrit à La Tribune l'ampleur de cette faille de sécurité informatique, dont le grand public ne mesure pas la gravité mais qui est incontestablement l'une des plus importantes de la décennie.

Vendredi 10 décembre, un chercheur rendait publique une faille informatique critique dans un composant logiciel peu connu, Log4j, présent sur des centaines de milliers d'ordinateurs. Cette vulnérabilité, immédiatement baptisée « Log4Shell », a déclenché un véritable branle-bas de combat dans le milieu, qui dure depuis.

Lire aussi 5 mn5 questions sur « Log4Shell », la faille informatique qui menace des milliers d'entreprises

« Log4j est partout »

L'objectif de la mobilisation ? Réparer les failles du composant avec une mise à jour, avant qu'elles ne soient exploitées par des hackers malveillants. Et pour cause : Log4Shell permet à un attaquant de déployer un vaste arsenal d'outils malveillants contre sa victime. Mais cette campagne de mise à jour est plus complexe à mettre en place qu'il n'y paraît. Résultat : la vulnérabilité devrait faire parler d'elle pendant encore de longues semaines, voire plus.

« Dans l'économie d'Internet, tout le monde s'appuie beaucoup sur la collecte d'informations. Vendredi, ceux qui ne le savait pas déjà se sont rendus compte qu'une immense partie des inf

Lire la suite