Les menaces de sécurité Log4j pourraient exister pendant longtemps

Les menaces de sécurité Log4j pourraient exister pendant longtemps

Il faudra des années, voire une décennie, pour éradiquer complètement la menace posée par la vulnérabilité Log4j (ouvre dans un nouvel onglet), ont averti les experts en sécurité.

Le US Government Cybersecurity Review Board a analysé la cause de la faille Log4j et a tenté de proposer des solutions, des leçons et d'autres points clés aux entreprises concernées.

Faisant partie de la sécurité intérieure, l'organisme indépendant de 15 personnes a été créé par le président américain Joe Biden en 2021 pour tenter d'améliorer les normes de cybersécurité du pays, et a enquêté sur Log4j au cours des cinq derniers mois.

Risque persistant

Parmi les résultats de leurs recherches, il y a un avertissement selon lequel les terminaux non corrigés (ouvre dans un nouvel onglet) persisteront pendant des années, voire une décennie, et avec eux la menace d'exploits.

« Cet événement n'est pas terminé. Le risque demeure. Les défenseurs du réseau doivent rester vigilants », a déclaré Rob Silvers, secrétaire adjoint à la politique et président du panel du DHS, aux journalistes lors d'une conférence téléphonique mercredi, a rapporté The Record.

Selon Silvers, quelque 80 entreprises ont été interrogées pour le rapport, ainsi que des experts de l'industrie, des gouvernements étrangers et de la sécurité. Le gouvernement chinois était également impliqué, car ce sont les ingénieurs d'Alibaba qui l'ont découvert en premier.

Comme d'habitude, les Chinois ont été immédiatement accusés d'essayer de tirer profit de leurs découvertes, mais le rapport indique qu'il n'y avait aucune preuve à l'appui de telles affirmations.

En conclusion, le rapport a formulé près de deux douzaines de recommandations, qui devraient aider les organisations à se protéger du risque posé par la vulnérabilité Log4j. Le conseil soutient également que les entreprises devraient augmenter la mise en termes de solutions et de défenses de cybersécurité, telles que les pare-feu (ouvre dans un nouvel onglet) et la confiance zéro.

L'utilitaire Log4j était au centre d'une tempête médiatique à la fin de l'année dernière après la découverte d'une faille majeure qui exposait des millions de terminaux à un risque de vol de données.

Au moment de sa découverte, Jen Easterly, directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), la décrivait comme "l'une des failles les plus graves" qu'elle ait constatée dans toute sa carrière, "si ce n'est la plus grave". .

Via : The Record (Ouvre dans un nouvel onglet)