Une vulnérabilité informatique découverte l’année dernière dans un logiciel omniprésent est un problème « endémique » qui posera des risques de sécurité pendant potentiellement une décennie ou plus, selon un nouveau panel de cybersécurité créé par le président Joe Biden.
Le Commission d'examen de la cybersécurité a déclaré jeudi dans un rapport que même s'il n'y avait aucun signe de problème majeur cyberattaque en raison de la faille Log4j, il sera encore « exploité pendant des années ».
"log4j "C'est l'une des vulnérabilités logicielles les plus graves de l'histoire", a déclaré mercredi aux journalistes le président du conseil d'administration, le sous-secrétaire du ministère de la Sécurité intérieure, Rob Silvers.
La faille Log4j, rendue publique à la fin de l'année dernière, permet aux attaquants basés sur Internet de prendre facilement le contrôle de tout, des systèmes de contrôle industriels aux serveurs Web et à l'électronique grand public. Les premiers signes évidents de l'exploitation de la faille sont apparus en Minecraft, un jeu en ligne extrêmement populaire appartenant à Microsoft.
La découverte de la faille a suscité des avertissements urgents de la part des responsables gouvernementaux et des efforts massifs de la part des professionnels de la cybersécurité pour corriger les systèmes vulnérables.
Le conseil d’administration a déclaré jeudi que « de manière quelque peu surprenante » l’exploitation du bug Log4j s’était produite à des niveaux inférieurs à ceux prédits par les experts. Le conseil d'administration a également déclaré qu'il n'était au courant d'aucune attaque Log4j « significative » sur les systèmes d'infrastructures critiques, mais a noté que certains cyber-attaques ne sont pas signalés.
Le conseil d'administration a déclaré que de futures attaques sont probables en grande partie parce que Log4j est régulièrement intégré à d'autres logiciels et peut être difficile à trouver pour les organisations dans leurs systèmes.
"Cet événement n'est pas terminé", a déclaré Silvers.
Log4j, écrit dans le langage de programmation Java, enregistre l'activité des utilisateurs sur les ordinateurs. Développé et maintenu par une poignée de bénévoles sous les auspices de l'Apache Software Foundation open source, il est extrêmement populaire auprès des développeurs de logiciels commerciaux.
Un chercheur en sécurité chez le géant chinois de la technologie Alibaba a informé la fondation le 24 novembre. Il a fallu deux semaines pour développer et publier un correctif. Les médias chinois ont rapporté que le gouvernement avait puni Alibaba pour ne pas avoir signalé la faille plus tôt aux représentants de l'État.
Le conseil a déclaré jeudi avoir trouvé des « éléments troublants » dans la politique du gouvernement chinois en matière de divulgation des vulnérabilités, affirmant que cela pourrait donner aux pirates informatiques de l'État chinois un aperçu précoce des failles informatiques qu'ils pourraient utiliser à des fins néfastes comme le vol de secrets commerciaux ou l'espionnage de dissidents. Le gouvernement chinois a longtemps nié tout acte répréhensible dans le cyberespace et a déclaré au conseil d'administration qu'il encourageait un meilleur partage d'informations sur les vulnérabilités des logiciels.
Le conseil d'administration a proposé un certain nombre de recommandations pour atténuer les conséquences de la faille Log4j ainsi que pour améliorer la cybersécurité en général. Cela inclut la suggestion que les universités et les collèges communautaires fassent de la formation en cybersécurité une partie obligatoire des programmes d’études et de certification en informatique.
Le Cyber Safety Review Board s’inspire du National Transportation Safety Board, qui examine les accidents d’avion et autres accidents majeurs, et a été mandaté par un décret signé par Biden en mai dernier. Le conseil d'administration de 15 membres est composé du FBI, de la National Security Agency et d'autres responsables gouvernementaux ainsi que de personnes du secteur privé. Certains partisans du nouveau conseil d'administration ont critiqué le DHS pour avoir mis autant de temps à le mettre en place et à le faire fonctionner.
Le décret de Biden a ordonné au conseil d'administration de procéder à son premier examen de la campagne massive de cyberespionnage russe connue sous le nom de SolarWinds. Des pirates informatiques russes ont réussi à pirater plusieurs agences fédérales, y compris des comptes appartenant à de hauts responsables de la cybersécurité du DHS, même si les retombées totales de cette campagne ne sont pas encore claires.
Silvers a déclaré que le DHS et la Maison Blanche étaient d'accord sur le fait que l'examen de la faille Log4j constituait une meilleure utilisation de l'expertise et du temps du nouveau conseil d'administration.
- algorithme
- blockchain
- cognitif
- de la cryptographie
- Cybersécurité
- zéro
- Analyse de Donnée
- page d'accueil
- quantique d'ibm
- Internet
- nouvelles
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- Quantum
- ordinateurs quantiques
- l'informatique quantique
- la physique quantique
- Fil technique WRAL
- zéphyrnet
