Qu'est ce que Log4j ?

Log4j est une librairie de journalisation en langage JAVA maintenue par la fondation Apache. Elle donne accès à du code conçu et déployé par d'autres développeurs et est utilisée pour l’enregistrement des activités d’une application. Cela permet de monitorer la bonne fonctionnalité d’un logiciel et de rapporter les erreurs dans le cas contraire.

Quels sont les risques de cette faille ?

Il a été découvert que du code malveillant pouvait être exécuté sur des serveurs utilisant cette librairie Log4j. 

Cette faille de sécurité permet une intrusion dans les réseaux informatiques des compagnies et même de prendre le contrôle en tant qu'administrateur. Elle s’est d’ailleurs vue attribuer le score de sévérité de 10 sur 10 selon l’échelle de Common Vulnerability Scoring System (CVSS).

La problématique étant que Log4j est une librairie énormément utilisée, sous des versions qui diffèrent, il faut donc s’assurer que le patch pour contrer la faille est compatible sans compter que la mise à jour des outils peut prendre du temps.

À partir de là, quoi faire ?

Le risque avec une telle vulnérabilité est qu'elle affecte une librairie pouvant être utilisée dans une multitude d'autres logiciels. Il faut donc potentiellement mettre à jour plusieurs applications si celles-ci sont touchées, de façon à éviter les intrusions que permettent cette faille.

Nous vous invitons donc à vous informer auprès de vos services ou outils TI tiers de façon à confirmer que les correctifs nécessaires ont été mis en place et à sécuriser vos données.