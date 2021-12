13 Décembre 2021 à 18h44 | Une bibliothèque utilisée par le langage de programmation Java, baptisée Log4j, peut être détournée pour faire fonctionner du code non autorisé sur un serveur. De nombreuses entreprises ou administrations sont potentiellement concernées.



Une faille de sécurité particulièrement inquiétante et facilement exploitable a été rendue publique vendredi 10 décembre. Baptisée « Log4Shell », elle concerne un outil massivement utilisé dans des applications et des services Web, et peut permettre d’exécuter du code à distance sur le serveur visé.



Lorsque l’on développe un logiciel, on utilise généralement des bibliothèques. Il s’agit, entre autres, de portions de code que l’on peut « appeler » et utiliser dans son programme. Les bibliothèques permettent notamment de réaliser des actions sans avoir à écrire le code nécessaire, en s’appuyant sur des programmes déjà éprouvés et conçus par d’autres développeurs. Dans ce cas précis, Log4j est une bibliothèque du langage Java qui sert à enregistrer l’activité (les « logs ») d’une application. On peut, par exemple, l’utiliser pour s’assurer qu’un logiciel fonctionne correctement et, dans le cas contraire, noter dans un fichier des rapports d’erreur à chaque fois qu’une portion de code rencontre un problème.



Le 24 novembre, un expert au sein de l’entreprise Alibaba, géant de la distribution en Chine, a signalé à l’Apache Software Foundation (la fondation qui distribue Log4j) une vulnérabilité logicielle dans plusieurs versions de son outil. Il a découvert qu’il était possible d’utiliser cette bibliothèque pour faire exécuter du code non autorisé sur un serveur utilisant Log4j.

