AccueilActualités informatiqueLes autorités américaines doivent corriger Log4j avant Noël

Les autorités américaines doivent corriger Log4j avant Noël

La CISA, une agence de sécurité américaine dépendant du Department of Homeland Security (DHS), analyse l’état des menaces dans le domaine de la sécurité informatique et conseille les autorités américaines sur la manière de se protéger contre les cybermenaces. L’autorité est en outre dotée de pouvoirs d’instruction. Elle utilise ces derniers pour exiger des autorités américaines qu’elles colmatent la faille de sécurité Log4Shell avant la veille de Noël.

Pour obtenir des conseils et des instructions utiles, la CISA a mis en place son propre site web. La page Apache Log4j Vulnerability Guidance fournit des informations générales sur la gestion de la vulnérabilité. Dans un propre dépôt github, l’autorité de sécurité veut rassembler des informations continuellement actualisées comme les messages de sécurité des fabricants concernant la débâcle de sécurité Log4j. Il en résulte une longue liste de produits concernés par la faille. Du moins en théorie, au moment de la rédaction de l’article, la liste était encore vide.

Il reste environ dix jours pour mettre à jour Log4j – cela semble beaucoup de temps. Cependant, la mise à jour vers une nouvelle version du logiciel peut avoir des effets secondaires importants, de sorte que des services ou des serveurs ne fonctionnent plus correctement. Le calendrier est donc très serré, étant donné que de telles mises à jour doivent d’abord être testées et nécessitent souvent une expertise sur place.

D’autre part, de nombreuses attaques sont déjà en cours sur des systèmes vulnérables. Les mises à jour ne peuvent donc pas être assez rapides. Tous les produits, serveurs et services concernés par la faille de sécurité Log4Shell n’ont pas encore été identifiés, loin de là. La menace est réelle, les cybergangs s’arment et scannent l’Internet à la recherche de systèmes vulnérables – c’est ce que rapportent unanimement plusieurs entreprises de sécurité informatique. Des pannes majeures sont à craindre. Les experts en sécurité informatique sont actuellement unanimes sur ce point.

Le webinaire de heise-Security « La faille Log4j – le guide pratique pour les administrateurs », le lundi de la semaine prochaine, 20 décembre 2021 à 11h00, explique comment mettre votre entreprise hors de la ligne de mire.

Plus d'articles