Qu’est-ce que la faille Log4shell ?

07 janvier 2022

La faille qui fait trembler la planète

Une faille de sécurité découverte dans une bibliothèque informatique appelée Log4j et utilisée par le langage de programmation Java suscite depuis le début du mois de décembre 2021 une forte inquiétude. Pour quelles raisons et comment se prémunir ? Eléments de réponse.

Qu’est ce que la faille Log4shell ?

La faille Log4shell affecte un composant informatique, appelé Log4j, utilisé dans de très nombreuses applications et matériels informatiques. Il s’agit d’une bibliothèque logicielle distribuée par la fondation Apache Software Foundation, une organisation à but non lucratif qui développe des logiciels open source sous la licence Apache et acteur référent dans le monde informatique, d’où sa très large utilisation dans les applications développées en langage Java.

La bibliothèque se retrouve partout (des logiciels de bureautique, des serveurs ou des systèmes embarqués pour l’automobile ou encore des jeux vidéo). Elle permet aux administrateurs de « journaliser », et donc de tracer et d’enregistrer, des événements informatiques, comme par exemple la saisie d’un mauvais mot de passe.

Une vulnérabilité a été identifiée dans cette bibliothèque le 10 décembre 2021 qui permettrait à une personne malintentionnée d’exécuter une requête à distance sans aucune demande d’identification.

Pourquoi une telle inquiétude autour de la faille Log4shell ?

Quelles sont les actions à mettre en œuvre pour se prémunir ?