Il n’y a de pire aveugle que celui qui ne veut pas voir. Douze ans après une première alerte, documentée par le Circl, et cinq ans après une deuxième, lors de la conférence de hackers Black Hat, toute la planète devrait être occupée à boucher le trou béant découvert fin novembre et surnommé «Log4shell».
Cette vulnérabilité «zero day», c’est-à-dire une faille informatique qui n’avait pas de correctif quand elle a été découverte, permet à des attaquants de prendre le contrôle à distance de nombreux appareils. Jusqu’à trois milliards d’appareils pourraient être touchés, . Comme s’ils avaient trouvé une manière d’ouvrir des milliers de portes d’entrée d’appartements sans que personne ne s’en aperçoive et de cambrioler ces appartements.
Le CEO de Cloudfare, Matthew Prince, avait annoncé, le 1er décembre, sur Twitter, avoir des preuves de son déploiement à large échelle au moins neuf jours auparavant et .
Un correctif a été publié par la Apache Software Foundation, ce week-end, avant qu’.
Mais de nombreux logiciels utilisent la bibliothèque Log4J. Et certains pays n’y sont pas allés de main morte: le Québec et le Canada ont fermé plus de 4.000 sites internet en attendant d’y voir plus clair.