Conscients de la menace qu'est le bogue informatique « log4j », les experts américains en cybersécurité travaillent jour et nuit afin de réparer cette brèche dont les répercussions peuvent s'avérer désastreuses non seulement aux Etats-Unis, mais partout dans le monde. Cette faille, qui aurait été détectée dans un premier temps par certains adeptes du célèbre jeu en ligne Minecraft ou par un chercheur en sécurité de la société chinoise Alibaba, sème, depuis le 9 décembre, la panique auprès de la quasi-totalité des grands éditeurs de logiciels, qui tentent de déterminer si leurs produits auraient été affectés et le meilleur moyen de les protéger. Toutefois, malgré le flou qui entoure la découverte du bogue informatique, les experts s'accordent à dire qu'il s'agit de la plus grande vulnérabilité logicielle de tous les temps en termes de nombre de services, de sites et d'appareils menacés et affirment l'impératif de le corriger le plus tôt possible. « La vulnérabilité avec log4j est la plus grave que j'ai vue au cours de mes décennies de carrière », a déclaré à CNBC la directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), Jen Easterly. Rien que chez Google, plus de 500 ingénieurs ont passé en revue des rames et des rames de code pour s'assurer qu'ils étaient sûrs, selon un employé cité par le Washington Post. Ce processus s'est répété dans toute sorte d'entreprises technologiques. De leur côté, les pirates travaillent tout aussi dur que les experts en cybersécurité pour exploiter log4j avant que le bogue ne soit corrigé. Selon l'entreprise de logiciels de cybersécurité Check Point, les hackers ont déjà essayé de l'utiliser pour pénétrer dans près de la moitié des réseaux d'entreprise dans le monde. Disponible gratuitement sur Internet et très largement utilisé, Log4j est un morceau de code qui aide les applications logicielles à garder la trace de leurs activités passées, a expliqué Asaf Ashkenazi, directeur d'exploitation de la société de sécurité Verimatrix, ajoutant qu'au lieu de réinventer un composant d'enregistrement à chaque fois que les développeurs créent un nouveau logiciel, ils utilisent souvent un code existant comme log4j. Ainsi, chaque fois qu'on demande à log4j d'enregistrer quelque chose de nouveau, il essaie de donner un sens à cette nouvelle entrée et de l'ajouter à l'enregistrement. Il y a quelques semaines, la communauté de la cybersécurité s'est rendu compte qu'en demandant simplement au programme d'enregistrer une ligne de code malveillant, il exécutait ce code au cours du processus, permettant ainsi aux mauvais acteurs de prendre le contrôle des serveurs qui exécutent log4j. Log4j fait partie du langage de programmation Java, l'un des fondements de l'écriture de logiciels depuis le milieu des années 90. Des pans entiers du code informatique sur lequel fonctionne la vie moderne utilisent Java et contiennent log4j, d'où la gravité de cette faille. En effet, les entreprises de stockage en nuage telles que Google, Amazon et Microsoft, qui constituent l'épine dorsale numérique de millions d'autres applications, sont touchées. Il en va de même pour les vendeurs de logiciels géants dont les programmes sont utilisés par des millions de personnes, dont IBM, Oracle et Salesforce. De même, les appareils qui se connectent à l'internet, comme les téléviseurs et les caméras de sécurité, sont également en danger. Les pirates qui tentent de s'introduire dans les espaces numériques pour voler des informations ou implanter des logiciels malveillants disposent soudain d'une nouvelle opportunité massive pour tenter de pénétrer dans presque tous les endroits qu'ils souhaitent.
