Selon les responsables de l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA), malgré les craintes initiales d'une compromission généralisée, ils n'ont pu constater de dommages significatifs résultant de l’exploitation d’une vulnérabilité présente dans l'utilitaire de journalisation Log4j basé sur Java, rendue publique en décembre. Cependant, ils ne peuvent exclure que des adversaires ont peut-être déjà utilisé cette vulnérabilité pour suivre en silence des machines ciblées, en préparation d'attaques ultérieures. « Nous avons surveillé activement les acteurs de la menace les plus susceptibles d’exploiter la vulnérabilité (baptisée Log4Shell), et pour le moment, son exploitation n’est pas mise en évidence dans des intrusions importantes », a déclaré Jen Easterly, directeur de la CISA, lors d'un point presse. « Mais les adversaires peuvent utiliser cette vulnérabilité pour obtenir un accès persistant en vue de mener des attaques plus tard, c'est pourquoi nous nous mobilisons fortement sur la correction de la vulnérabilité dans tout le pays et sur la détection des intrusions quand elles se produisent », a-t-il ajouté. [Á noter que le 10 janvier dernier au soir, Microsoft a signalé que, dès le 4 janvier, des attaquants avaient commencé à exploiter la vulnérabilité Log4Shell dans des systèmes ouverts sur Internet et exécutant VMware Horizon et indiqué que son enquête a montré que des intrusions réussies dans ces campagnes d’attaques avaient conduit au déploiement du ransomware NightSky]. Reste que la vulnérabilité a été exploitée par les acteurs de la menace de manière mineure. « Nous constatons une certaine prévalence de ce que nous appellerions des activités de bas niveau, comme la mise en route d’un minage de crytomonnaie et l'installation de logiciels malveillants qui pourraient être utilisés dans des botnets », a déclaré Eric Goldstein, directeur exécutif adjoint pour la cybersécurité de la CISA.

Une directive opérationnelle immédiatement contraignante

La CISA a joué un rôle de premier plan en aidant les agences fédérales et le secteur privé à gérer la menace à grande échelle que représente la vulnérabilité Log4Shell, la première des quatre vulnérabilités critiques découvertes dans le logiciel Log4j, qui est déployé sur des centaines de millions de machines dans le monde. Au cours du week-end, alors que la découverte de la faille créait la stupéfaction dans le secteur de la sécurité de l'information, la CISA a ajouté sans attendre la faille à son catalogue de vulnérabilités exploitées connues. Ce faisant, l’agence a déclenché une directive opérationnelle contraignante publiée en novembre, qui impose à toutes les agences civiles de corriger d'urgence leurs systèmes dès que des correctifs sont disponibles. Cependant, l'agence a rapidement réalisé qu'elle devait « s'appuyer sur la directive opérationnelle contraignante pour mieux hiérarchiser les mesures correctives et s'assurer que des mesures d'atténuation étaient en place pour les actifs technologiques pour lesquels les correctifs n'étaient pas encore disponibles », a déclaré M. Goldstein. Afin de recevoir les soumissions détaillant les produits susceptibles de contenir des vulnérabilités Log4j, l'Agence américaine de cybersécurité et de sécurité des infrastructures a mis en place un catalogue public, qui compte à ce jour plus de 2800 soumissions. En passant par un service partagé, une plate-forme de divulgation des vulnérabilités gérée par la société de divulgation Bugcrowd, les chercheurs en sécurité ont trouvé 17 produits jusque-là non identifiés, qui étaient vulnérables à Log4Shell. « Tous ont été corrigés avant une potentielle intrusion », a déclaré M. Goldstein.

Même si le mandat de la CISA se limite au gouvernement fédéral, l’agence a également fait en sorte d’envoyer un « signal fort » à toutes les entreprises quant à la manière de traiter les failles de Log4j, en donnant la priorité à quelques domaines clés. Le principal objectif est de permettre aux entreprises de « comprendre et de hiérarchiser la prévalence des bibliothèques et des composants vulnérables dans leurs environnements » grâce à une nomenclature des logiciels (SBOM), sorte de « liste d'ingrédients » des bibliothèques. Les SBOM ont « une valeur inestimable car ils peuvent aider une entreprise à comprendre automatiquement si elle est exposée à une vulnérabilité donnée, et à passer rapidement à la remédiation ».

Le défaut d'obligation de déclaration des incidents, préjudiciable

L'absence d'obligation de signalement des incidents est l'une des difficultés à laquelle est confrontée la CISA pour aider les entreprises non fédérales, car l'agence n’a pas tous les éléments pour repérer les incidents liés à Log4j. En décembre, des normes de signalement des incidents cyber ont été incluses dans la version de compromis du National Defense Authorization Act (NDAA), mais elles ont été retirées à la dernière minute. « Nous n'avons pas vu d'intrusions importantes, mais aucune ne nous a été signalée », a déclaré M. Easterly. « Nous sommes inquiets, car les acteurs de la menace pourraient commencer à tirer parti de cette vulnérabilité pour cibler des infrastructures critiques. Or, du fait de l’absence de législation en place, nous ne serons probablement pas mis au courant », a ajouté le directeur de la CISA

Aucune intrusion de ransomware confirmée, pour l'instant

Malgré la rumeur, diffusée fin décembre, d'une attaque par ransomware exploitant la faille Log4j pour cibler le ministère belge de la Défense, « nous ne pouvons confirmer avec certitude aucune intrusion par ransomware résultant de l’exploitation de la vulnérabilité Log4Shell », a déclaré M. Goldstein. « Nous savons aujourd'hui que beaucoup d’intrusions par ransomware ne sont pas signalées au gouvernement américain. Et celles qui le sont, ne sont souvent pas accompagnées du type d'informations techniques qui seraient utiles pour comprendre quelle vulnérabilité a été utilisée par l'acteur de la menace ». Malgré cela, M. Easterly a déclaré qu’il était « particulièrement préoccupé par les attaques par ransomware ciblant les hôpitaux », et que l’agence gardait un œil très attentif sur ce secteur.

Déconnecter les systèmes de contrôle industriel de l'Internet

Les systèmes de contrôle industriels préoccupent également la CISA qui a pris des mesures spécifiques au secteur pendant cette crise. « Nous sommes certifiés US-CERT (United States Computer Emergency Readiness Team), mais nous sommes aussi certifiés ICS-CERT (Industrial Control System Computer Emergency Readiness Team). Nous disposons donc d’une énorme d'expertise dans ce domaine. Une partie importante de notre travail de sensibilisation consiste à aider des centaines de fournisseurs de composants ICS à savoir si leurs produits sont effectivement vulnérables et de coordonner la communication avec les clients sur les mesures à prendre ». De plus en plus, M. Goldstein trouve un écho favorable à l'idée selon laquelle les réseaux technologiques opérationnels des entreprises d'infrastructures critiques devraient être totalement déconnectés d'Internet, ce qui constitue la meilleure protection contre la compromission de la vulnérabilité Log4j. « Dans pratiquement tous les cas, ces actifs ne devraient pas être ouverts sur l'Internet pour les applications de systèmes de contrôle. La suppression de ce facteur de menace pourrait réduire considérablement le risque », a-t-il déclaré.

L'origine de la faille, encore obscure

Concernant l'origine de la faille, le 24 novembre dernier, un chercheur de l’activité cloud d'Alibaba en Chine aurait appelé la Fondation Apache, en charge de l’administration du framework de journalisation Java, pour l'informer en privé de l'existence de la faille. Avant qu'Apache ne puisse publier un correctif, le chercheur a signalé à la Fondation que des utilisateurs chinois discutaient déjà de la faille, ce qui indiquait que des pirates auraient tenté de l'exploiter avant qu'elle ne soit rendue publique. En conséquence, le gouvernement chinois aurait suspendu son contrat avec le fournisseur de cloud Alibaba en réponse à ce qu’il considérait comme un manquement à l'obligation de signaler la faille logicielle Log4j2 à Pékin en temps voulu. M. Goldstein a déclaré que la CISA n'était pas en mesure de confirmer de manière indépendante ces rapports, ni de confirmer de manière indépendante toute interaction entre l'État chinois et le chercheur.