Log4 Shell, l’éradication des menaces
Je vous propose d’illustrer, avec Log4J , comment une analyse des menaces de sécurité, nommée STRIDE, aurait pu prévenir la faille Log4 Shell.
Jauger les menaces spécifiques et éliminer les faiblesses de code identifiées
L’institution Open Web Application Security Project, connu sous l’acronyme OWASP, délivre un socle de conformité, dénommé Top 10, et un référentiel d’analyse des risques de sécurité, nommé STRIDE. Cette dénomination, qui communique l’idée de jauger les risques à la manière d’un arpenteur géomètre qui parcourt un terrain, est un acronyme qui énonce les 6 menaces les plus fréquentes :
- Spoofing : l’usurpation d’identité, l’imposture;
- Tampering : la falsification, la modification non autorisée;
- Répudiation : la contestation d’un acte;
- Information Disclosure : la divulgation d’informations;
- Denial of service (DoS) : la dégradation volontaire, la panne provoquée;
- Elevation of Privilege : l’augmentation indue du pouvoir d’agir;
La fiche de référence de STRIDE, publiée par l’OWASP, indique, pour le « I » de STRIDE, “qu’un attaquant cherchera à extirper des informations secrètes en analysant les messages d’erreurs et les cas d’erreurs”; pour le “E” de STRIDE, “l’attaquant va tenter de compromettre le mécanisme d’attribution des privilèges en envoyant des données d’entrée qui ne sont pas correctement vérifiées”. La note précise : il s’agit d’une brèche très répandue qui engendre fréquemment de très fortes répercussions;
Par dérision, nous pourrions presque croire, que la fiche de référence STRIDE fut écrite spécialement pour faciliter la découverte des failles Log4J.
Premièrement, Log4J (Logging for JAVA) est une bibliothèque logicielle utilitaire Open Source qui fournit des fonctions permettant de gérer des traces et des historiques d’applications. Par conséquent, il s’agit du composant rêvé pour une analyse des messages d’erreurs et de cas d’erreurs pour capter les secrets des applications logicielles développées en JAVA (le “I” de STRIDE).
La seconde étape consiste à envoyer des requêtes JNDI (JAVA Naming Directory Interface) dans un annuaire compatible LDAP afin d’obtenir un accès d’administrateur du domaine qui le rendra le pirate maître à bord (le “E” de STRIDE).
Déployer une sécurité collaborative coordonnée
La véritable vulnérabilité à combler, la menace prépondérante, concerne l’état d’esprit à l’égard de la sécurité. Le centre du monde numérique a changé. Cela implique une sécurité centrée sur l’utilisateur. Il n’est pas assigné à résider à l’intérieur d’une entreprise fortifiée. Cette liberté de mouvement impose un maillage de la sécurité avec l’utilisateur au centre. Nous passons alors de l’architecture de l’escargot, fort de son exosquelette, de sa carapace, de sa forteresse, prêt à se recroqueviller lors d’une alerte, à une organisation collective en essaim où la sécurité est collaborative. Chacun est muni d’un dard qui garantit un minimum de sécurité en cas d’isolement du groupe, lors de ses déplacements dans une jungle sans zone de confiance, sans refuge véritable. Il s’agit, selon les termes consacrés du Edge computing. Rappelons que le Edge computing, proche de l’utilisateur, se définit comme l’étape qui suit le cloud computing, proche des data centers.
La découverte de failles Log4J, par l’équipe de sécurité d’Alibaba cloud, serait ainsi un indicateur clair de l’avance des BATX quant aux nouveaux services sécurisés comme les moyens de paiement associés aux applications cloud natives.
