Le chercheur en sécurité Florian Roth compare sur Twitter cette faille à une bombe à fragmentation. Mathis Hammel, expert technique pour CodinGame, cité par Le Monde, précise:
«C’est vraiment très gros parce que la faille est super facile à exploiter pour quelqu’un avec un peu d’expérience en code Java, et que ça concerne un outil installé sur énormément de machines, le tout avec une information qui est tombée un week-end.»
Par sécurité, au Canada, Québec et Ottawa ont été jusqu’à fermer provisoirement des sites gouvernementaux pour éviter d’être la cible de cybercriminels, comme le souligne La Presse. En Suisse, la Confédération a émis une alerte sur son site, indiquant comment corriger la faille de sécurité.
Pour Jen Easterly, directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures, citée par Cyberscoop, Log4Shell est «l’une des plus graves failles que j’ai vues dans toute ma carrière, si ce n’est la plus grave». Selon l’organisation, la vulnérabilité pourrait toucher des centaines de millions d’appareils, de serveurs et d’applications. L’agence a également affirmé que c’est une erreur de penser que le problème causé par Log4Shell sera réglé en une semaine ou deux.
De grandes entreprises réagissent. Amazon Web Services, Google Cloud ou encore IBM ont reconnu que certains services que ces grandes entreprises proposent sont concernés par cette faille de sécurité, tout en affirmant tout mettre en œuvre pour apporter un correctif rapidement. Cloudflare, un service très utilisé, a pour sa part affirmé avoir mis ses systèmes à jour et n’avoir pas fait l’objet d’attaques.
Les grandes entreprises ont les ressources nécessaires pour réagir très vite dans de telles circonstances. Mais ce ne sera pas les cas des structures plus petites, ainsi que des développeurs indépendants, comme le relève Wired.
Pour le responsable de l’entreprise de sécurité informatique Navixia, Patrick Zahlen, cité par Le Temps, la faille concerne tous les utilisateurs, indépendamment de leur appareil:
«Le risque est sensiblement le même sur Windows ou MacOS X, Java étant agnostique quant au système d’exploitation. Ici encore, les particuliers doivent s’en remettre aux éditeurs de ces applications pour leur fournir des mises à jour… et leur faire savoir que ces mises à jour sont disponibles.»
Les cybercriminels et les chercheurs sur le qui-vive. Selon Bleeping Computer, acteurs malveillants et chercheurs scannent le web à la recherche de cette faille de sécurité pour y déployer des maliciels (malwares) ou découvrir des serveurs vulnérables. Certains cybercriminels exploitent Log4Shell pour exécuter des scripts qui téléchargent et installent sur des appareils des logiciels pour miner des cryptomonnaies. D’autres se servent de ces failles pour mettre une balise Cobalt Strike dans un système informatique. Ce logiciel est en général exploité par les cybercriminels pour prendre le contrôle d’un réseau informatique.