iCloud, Twitter et Amazon menacés par une faille de sécurité
Des solutions ont heureusement déjà été apportées pour les développeurs qui travaillent sur ces apps.
Une importante brèche dans le code source de Java vient d’être repérée. Celle-ci touche la bibliothèque logicielle log4j2 que les développeurs utilisent notamment pour une fonctionnalité cruciale de leurs apps, celle de l’authentification. De nombreux éditeurs y font appel, dont Apple avec son service iCloud, Steam et sa ludothèque ou encore Tencent (jeux vidéo), Twitter, Amazon et Baidu, le Google chinois.
La bonne nouvelle, c’est que la fondation Apache a d’ores et déjà déployé un correctif. Celui-ci est disponible sous la forme d’une mise à jour de la collection de routines numérotée 2.15.0, qui peut être téléchargée en suivant ce lien. Cloudflare, plateforme sur laquelle comptent de nombreux sites web, a notamment annoncé avoir bien installé le patch.
Que faire si je suis concerné ?
Si, comme Minecraft, vous utilisez la bibliothèque log4j2 dans vos apps alors vous devez absolument vérifier que celle-ci est bien à jour, le cas échéant il faudra installer le patch manuellement. Il faut savoir que plusieurs pirates scannent déjà le net à la recherche de cibles potentielles ; le danger est donc réel si bien qu’il est primordial d’agir rapidement. Même Robert Joyce, directeur de la cybersécurité à la NSA, considère cette menace comme étant “significative“.
Dans le cas où la mise à jour n’est pas possible pour vous (celle-ci peut par exemple entrer en conflit avec vos extensions, ce qui demande un certain temps d’adaptation), alors sachez qu’une alternative est également possible. Pour en connaître le contenu, nous vous invitons à consulter cet article (paragraphe Temporary mitigation) en anglais qui détaille précisément ce qu’il vous faudra faire.
Les risques encourus
Utilisateurs comme développeurs risquent face a cette faille zero-day un vol massif de données dans le cas où un hacker parviendrait à s’infiltrer dans leurs apps. N’oublions pas que c’est aussi sur ce type de brèche que comptent certains programmes de surveillance pour épier les moindres faits et gestes réalisés avec certains smartphones, comme a pu le prouver le récent scandale impliquant Pegasus et plusieurs gouvernements.
En tant que simple internaute, vous n’avez cependant pas la possibilité de lutter concrètement contre cette menace. C’est bel et bien aux codeurs qu’il advient de rester alertes.
