Ransomware: la défense belge attaquée

Lors du passage à la nouvelle lune, dimanche 19 décembre 2021, plusieurs offensives par codes malveillants se sont produites, comme chaque jour sur Terre. Au cours de ce week-end, c’est une attaque majeure qui ciblait le ministère de la défense belge. Les pirates ont exploité une vulnérabilité dans un logiciel appelé Log4j, qui a été découverte plus tôt en décembre, a déclaré un porte-parole aux médias locaux. Le ministère l’a repéré il y une semaine, jeudi 16 décembre 2021.

Les responsables de la cybersécurité du monde entier se sont empressés de corriger la vulnérabilité de Log4j au cours de la huitaine écoulée. C’est sur l’ensemble de la planète que le problème sévit. Il touche une longue liste de sociétés de logiciels, dont Amazon et Microsoft pour ne citer qu’elles. La compagnie de gestion des ressources humaines Ultimate Kronos Group a été la cible d’une infection par ransomware. Tous n’ont pas eu le temps nécessaire, semble-t-il. Des allégations de chercheurs avertissaient que des groupes de pirates soutenus par des États, notamment ceux liés à la Chine, à l’Iran, à la Corée du Nord et à la Turquie, auraient commencé à utiliser cette vulnérabilité pour pirater les réseaux de leurs adversaires. Le ministère de la Défense « a détecté ce jeudi une attaque sur son réseau informatique avec accès internet. Rapidement, des mesures de quarantaine ont été mises en place afin de circonscrire les éléments infectés. La priorité est donnée à l’opérationnalité du réseau de la Défense », indiquait un porte-parole.

Depuis la découverte de l’agression, « nos équipes ont été mobilisées […] Un monitoring continuera à être assuré », ajoutait dimanche soir le porte-parole, le commandant Olivier Séverin. (Crédits : capture d’écran/CERT.be)

Depuis la publicité faite de la vulnérabilité dans la bibliothèque de journalisation Log4j d’Apache, il ne se passe pas une journée sans que les médias en parlent. Les opérateurs malveillants se sont très vite emparés du sujet en multipliant les exploits (botnet, ransomware …) et en arrosant à tout va. Mardi 21 décembre 2021, le ministère annonçait officiellement avoir été victime d’une attaque reposant sur la vulnérabilité Log4Shell, sans révéler le ou les auteurs de cette attaque.

Face au feu nourri, les autorités décuplent les alertes (ANSSI, CISA, CERT, DGSSI…) pour corriger au plus vite les systèmes sensibles. Plusieurs patchs ont été nécessaires. (Crédits : capture d’écran/DGSSI)

Dans certaines versions de Log4j, un logiciel repris dans de très nombreux utilisateurs, notamment par Amazon, Apple, Cloudflare, Tesla, Minecraft et Twitter, permet de s’emparer du contrôle de la machine qui l’héberge, et d’élever ainsi ses privilèges. Le pirate peut alors commencer à circuler dans le réseau informatique de la victime pour y déployer rançongiciels, comme outils d’espionnage. L’ANSSI détermine dans son alerte les systèmes affectés :

  • Apache Log4j versions 2.16.0 et 2.12.2 (java 7)
  • Apache Log4j version 2.15.0
  • Apache Log4j versions 2.0 à 2.14.1
  • Apache Log4j versions 1.x (versions obsolètes) sous réserve d’une configuration particulière
  • Les produits utilisant une version vulnérable de Apache Log4j : les CERT nationaux européens tiennent à jour une liste complète des produits et de leur statut vis-à-vis de la vulnérabilité (ici)

Il est fort à parier que d’autres organisations useront criminellement de la faille contre différentes sociétés, comme le stipule l’agence nationale de sécurité des systèmes d’information : « Cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l’évènement. Cette attaque peut être réalisée sans être authentifiée, par exemple en tirant parti d’une page d’authentification qui journalise les erreurs d’authentification. Des preuves de concept ont déjà été publiées. Cette vulnérabilité fait désormais l’objet d’une exploitation active. » À vos mises à jour…

Romuald Pena

Journaliste et curieux de nature, j’aime les mots et ce qu’ils chantent aux oreilles qui les entendent. « La vérité, c’est qu’il n’y a pas de vérité », assurait Pablo Neruda. Ainsi j’apporte des faits, des faits, encore et toujours des faits, car : « Nous ne pouvons être condamnés à pire, à juger les autres, à être des juges. » (Le Testament d’Orphée, de Jean Cocteau)

2 réflexions sur “Ransomware: la défense belge attaquée

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.