Log4Shell: aux USA, tarder à patcher expose à des amendes salées

Les vulnérabilités Log4Shell restent on ne peut plus d'actualité, près d’un mois après leur découverte. Preuve en est l’alerte que vient de diffuser la FTC (Commission fédérale du commerce des Etats-Unis), qui n’y va pas par quatre chemins en sommant les entreprises qui ne l'auraient pas déjà fait d'appliquer au plus vite les correctifs… sous peine de sanctions judiciaires. Pour rappel, Log4Shell regroupe plusieurs failles identifiées au sein de l'utilitaire Java de journalisation Log4j, une brique open source ultra populaire. Rien que sur le référentiel Maven Central Repository, Log4j a été téléchargé près de 30 millions de fois de début août à fin novembre 2021.

«Il est essentiel que les entreprises et leurs fournisseurs qui utilisent Log4j agissent maintenant, afin de réduire la probabilité de préjudice pour les consommateurs et d'éviter une action en justice de la FTC», déclare dans son récent communiqué l'organisme américain en charge de la protection des consommateurs. Histoire de souligner que ses menaces ne sont pas à prendre à la légère, la FTC rappelle la sanction infligée à l'agence de crédit Equifax qui, en 2017, n'avait pas patché à temps une faille responsable de la fuite de données personnelles de près de 150 millions d’individus. L'organisme précise à qui voudra bien l’entendre qu’Equifax avait écopé d’une lourde amende de 700 millions de dollars.

Plusieurs équipes d'experts en cybersécurité, notamment du côté de Crowdstrike et de Microsoft, ont détecté que des cybercriminels de petites envergures mais aussi des acteurs étatiques ont activement exploité les vulnérabilités Log4Shell durant les dernières semaines de 2021. Dont des groupes originaires de Chine, d'Iran, de Corée du Nord et de Turquie. Toutes les organisations encore exposées doivent urgemment appliquer les bons correctifs en fonction de la version de Log4j installée. Les mesures sont listées par les équipes d’Apache sur la page consacrée à Log4Shell.