La faille qui joue les « troubles fêtes » est apparue en décembre dernier, affolant les entreprises du monde entier.
Une vulnérabilité découverte récemment dans une bibliothèque Java sème la panique dans la plupart des entreprises, administrations et organismes du monde entier. Cette faille de sécurité met en danger les données personnelles et sensibles de milliers d’entreprises et de particuliers. Pour les experts, la situation est grave.
Mais que se passe-t-il ? On vous explique :
Qu’est-ce qu’une bibliothèque ?
Il s’agit d’extraits de code informatique que l’on peut appeler et exécuter lors du développement de logiciels. Elles permettent ainsi de programmer plus rapidement sans avoir à réécrire tout le code nécessaire. Log4Shell, en langage java, permettait d’enregistrer l’activité d’une application comme des rapports d’erreur ou de connexion (les Logs).
Et la faille de sécurité ?
Des experts en informatique du groupe Ali Baba ont découvert il y a peu que l’on pouvait utiliser cette bibliothèque pour exécuter du code au serveur à distance. Ainsi, il était donc possible de demander à l’application d’aller chercher du code sur un autre serveur. En clair, une porte ouverte à tous types de détournements et d’actes malveillants.
Conséquences ?
Une fois informée, la fondation Apache a fait le nécessaire pour corriger la faille. La nouvelle s’est alors très vite propagée et chaque entreprise fait essaie de vérifier ses propres serveurs. Mais les pirates ont eux aussi entendu parler de cette faille et plusieurs centaines de milliers d’attaque ont été relevées.
En pratique, pas de soucis pour les particuliers pour le moment. Il est juste conseillé de bien appliquer les mises à jour de sécurité qui apparaitront prochainement.
Les entreprises, elles, doivent veiller à leur sécurité informatique et s’en remettre à un expert en cybersécurité.
Quelles sont les bons réflexes sécurité ?
Quelques bonnes pratiques sont essentielles à une navigation sécurisée et la protection de vos données personnelles. En voici quelques unes:
- Toujours s’assurer de naviguer sur des sites au protocole « https ».
- Utiliser des mots de passe complexes, et forts (Plusieurs types de caractères, chiffres, majuscules)
- Ne JAMAIS utiliser le même mot de passe pour tous ses comptes .
- Utiliser un gestionnaire de mots de passe qui va générer, et enregistrer des mots de passe uniques pour vos comptes (De type « Keepass », recommandé par L’ANSSI).
En cas de doute de piratage, vous pouvez vérifier si votre e-mail a été piraté sur Have I been pwned !
Et si la Cybersécurité vous intéresse, consultez aussi les articles suivants :