Skip to main content

Log4Shell peut prendre le contrôle de votre iPhone et même d’une Tesla à des fins criminelles

iPhone
(Crédit photo: Shutterstock)

C’est la faille de sécurité qui inquiète le plus la planète en cette fin d’année, et particulièrement les chercheurs en cybersécurité. Ceux-ci expérimentent aujourd’hui toutes les manières d’utiliser les talents de Log4Shell, notamment pour venir à bout de n’importe quel appareil connecté.

Deux essais récents dévoilent ainsi comment la vulnérabilité de l'outil Java open-source Log4j pourrait être exploitée sur un iPhone ou une voiture Tesla, en compromettant le serveur communiquant avec les terminaux.

En remplaçant le nom de son iPhone par une chaîne de caractères spécifique, un chercheur néerlandais est parvenu à forcer les serveurs iCloud à l'autre extrémité. Le même processus a été exécuté depuis un véhicule Tesla, et les résultats de cette expérimentation ont été publiés sur la page GitHub Log4jAttackSurface.

En théorie, un cybercriminel pourrait héberger un malware sur un serveur donné puis, en changeant le nom d'un iPhone, forcer les serveurs d'Apple à accéder à distance à l’URL piégée puis à télécharger le malware.

Il y a toutefois peu de chances que cela se produise, car tout réseau bien entretenu serait capable d'empêcher une telle attaque avec une relative facilité. Qui plus est, rien n'indique qu'une telle méthode pourrait conduire à une compromission plus large des services ou des entreprises les plus populaires, explique encore The Verge.

Une vulnérabilité extrêmement puissante

Log4Shell est le nom de l'exploit récemment découvert au sein de l'outil Java Log4j qui, selon certains chercheurs, manipule des millions de dispositifs à des fins de journalisation des incidents. 

Jen Easterly, directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), a décrit la vulnérabilité comme "l'une des plus graves" qu'elle ait recensées dans toute sa carrière, "si ce n'est la plus grave".

"Nous nous attendons à ce que cette faille de sécurité soit largement exploitée par des hackers initiés et nous disposons d'un temps limité pour prendre les mesures nécessaires afin de réduire la probabilité de dommages", craint Mme Easterly. 

Cette vulnérabilité, connue sous le nom de CVE-2021-44228, permet aux cybercriminels d'exécuter pratiquement n'importe quel code à distance. Les compétences requises pour tirer parti de la faille sont assez basiques, ont averti les experts. en plus d’exhorter l’ensemble des cibles potentielles à appliquer un correctif sur Log4j aussi vite que possible.

Les entreprises et associations qui utilisent Log4j dans leurs logiciels doivent le mettre à jour immédiatement, en installant la dernière version 2.15, disponible sur Maven Central.

Via The Verge