Log4Shell : des chercheurs trouvent une faille en renommant un iPhone (ou une Tesla)

Nathan Le Gohlisse
Spécialiste Hardware
22 décembre 2021 à 14h30
7
Cybersecurité
© TierneyMJ / Shutterstock

Rendue publique depuis un peu plus d'une semaine, la faille Log4Shell donne lieu à des découvertes en cascade de brèches et de vulnérabilités. Des chercheurs ont par exemple découvert que renommer un iPhone pouvait permettre une liaison non protégée avec des serveurs d'Apple.

Découverte sur une bibliothèque Java utilisée par de nombreux acteurs de l'industrie, dont Apple et Tesla, la faille Log4shell permet notamment de faire fonctionner du code malveillant, sans authentification, pour accéder à des serveurs. Cette faille zero-day est décrite comme « extrêmement grave » par les chercheurs en sécurité qui l'ont identifiée pour la première fois en novembre.

Apple et Tesla vulnérables, au moins théoriquement

Preuve supplémentaire de sa nature insidieuse, on apprenait récemment par The Verge que remplacer le nom d'un iPhone par du code suffisait à obtenir un ping (et donc un point de contact) provenant des serveurs d'Apple. Cette faille est également observée chez Tesla.

Les chercheurs à l'origine de cette autre découverte ont simplement remplacé le nom de l'appareil par une chaîne de caractères bien spécifique. Cette dernière est créée pour envoyer les serveurs vers une URL de test. Cela permet de simuler leur comportement dans l'hypothèse où ils seraient réellement confrontés à une attaque par ce biais.

Et le bilan est préoccupant : ce changement de nom a bien conduit les serveurs d'Apple à visiter l'URL préalablement choisie par les chercheurs. Dans le cadre d'une attaque, les conséquences de cette vulnérabilité pourraient être sérieuses et conduire à un chargement de ressources à distance, comme du code malveillant. Inutile de préciser que cela ne devrait normalement pas être possible avec un simple changement de nom.

Log4Shell iPhone © © The Verge
© The Verge

Une faille comblée… mais qui devrait sévir encore un moment

Cela dit, The Verge précise que si cette démonstration montre une nouvelle fois la dangerosité potentielle de la faille Log4shell et de ses ramifications, il reste difficile de savoir si des cybercriminels pourraient vraiment tirer parti de ce changement de nom pour nuire aux serveurs d'Apple ou Tesla.

« En théorie, un attaquant pourrait héberger un code malveillant à l'URL cible afin d'infecter des serveurs vulnérables, mais un réseau bien entretenu pourrait empêcher une telle attaque », explique notamment le média américain.

Rappelons par ailleurs qu'une mise à jour et des correctifs ont d'ores et déjà été développés et déployés pour colmater la faille Log4shell. Comme souvent face à ce type de vulnérabilités zero-day, il faudra néanmoins du temps pour que toutes les machines et serveurs vulnérables soient patchés.

C'est un secret de polichinelle, la majorité des revenus de Google est basée sur la publicité. Alors pour la rendre plus pertinente, cette dernière doit être attractive et répondre aux besoins précis de l'internaute. Comment y parvenir ? Tout simplement en multipliant les techniques pour pister ce dernier.
Lire la suite

Source : The Verge

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
6
rexxie
Pour les Tesla, elles peuvent toutes être patchées d’un coup, lors d’une mise à jour hebdomadaire de routine.
stefane
C’est le serveur qui doit être patché, pas la voiture …
TAURUS31
Mince tu as cassé l’effet que le fanboy Tesla voulait mettre en avant… Et surtout, mis en avant le fait qu’il avait rien compris à l’article… Double effet kisscool…
Palou
tacle à la gorge
rexxie
Oui c’est vrai, dsl.
Jissou06
La voiture peut très bien hébergé un serveur Java<br /> Et donc être vulnérable
rexxie
Ouin, je me disais aussi…
Nmut
Tu entends quoi par «&nbsp;serveur Java&nbsp;»?<br /> Ce ne sont ni le langage ni la machine virtuelle qui sont en cause ici, mais une bibliothèque très fréquemment utilisée. Donc oui, il est tout à fait possible (même probable) que des applications Java d’une Tesla utilisent Log4J et soient donc vulnérables.
Jissou06
Tomcat par exemple<br /> Mais tu as tout à fait raison une simple appli Java qui utilise la lib concernée est impactée
Voir tous les messages sur le forum

Derniers actualités

Chrome : Google annonce un mode économie d'énergie et de mémoire pour bientôt
Elon Musk a transformé des bureaux de Twitter en chambre... parce que le travail n'attend pas
Juste avant Noël, l'écran gamer Samsung Odyssey G3 chute à 145€
Le micro Trust Gaming GXT 258W Fyru est complètement bradé sur Amazon
Huawei Band 7 : le bracelet connecté chute à moins de 50€ juste avant Noël
Chez Twitter, Musk aurait fait renvoyer les femmes en priorité
Idée cadeau : la liseuse Kobo Clara est 20€ moins chère pour Noël !
Idée cadeau | EcoSphere : un écosystème complet dans une sphère
La FTC porte plainte contre Microsoft dans le but de faire capoter le rachat d'Activision-Blizzard
USB-C obligatoire sur les smartphone : apparemment, rien ne presse pour l'UE...
Haut de page