Etats-Unis : Des sanctions pour les entreprises qui ne patchent pas Log4j
La Commission fédérale du commerce (FTC) des Etats-Unis prévient : elle poursuivra les entreprises qui ne prennent pas suffisamment de précautions pour remédier à la vulnérabilité du logiciel de journalisation Java Log4j.
« La FTC a l’intention d’utiliser toute l’autorité juridique dont elle dispose pour poursuivre les entreprises qui ne prennent pas de mesures raisonnables pour protéger les données des consommateurs contre l’exposition à Log4j ou à d’autres vulnérabilités similaires connues à l’avenir », a déclaré l’agence ce mardi.
« Le fait de ne pas identifier et corriger les instances de ce logiciel peut constituer une violation du FTC Act. »
Des projets essentiels, mais parfois vulnérables
L’agence cite ensuite l’exemple de l’amende de 700 millions de dollars réglée par Equifax en 2019 pour illustrer ce qui pourrait arriver si les données des clients d’une organisation sont exposées.
« La vulnérabilité de Log4j fait partie d’un ensemble plus large de problèmes structurels. C’est l’un des milliers de services open source peu connus, mais d’une importance critique qui sont utilisés dans une variété quasi innombrable de sociétés liées à internet », indique la FTC.
« Ces projets sont souvent créés et maintenus par des bénévoles, qui ne disposent pas toujours des ressources et du personnel adéquats pour répondre aux incidents et assurer une maintenance proactive, alors même que leurs projets sont essentiels à l’économie d’internet. »
« Cette dynamique globale est un élément que la FTC prend en compte », ajoute l’organisation, précisant qu’elle s’efforce de « résoudre les problèmes fondamentaux qui mettent en danger la sécurité des utilisateurs ».
Prendre conscience de l’ampleur du problème
Microsoft prévenait le matin même de cette déclaration qu’il se pouvait que le problème Log4Shell ne soit pas assez pris au sérieux : non seulement toutes les organisations ne semblent pas être conscientes de l’ampleur du problème dans leurs environnements, mais il ne faut pas oublier que les tentatives d’exploitation de cette vulnérabilité étaient élevées jusqu’à la fin de l’année 2021.
« A ce stade, nos clients doivent supposer que la large disponibilité du code d’exploitation et des capacités d’analyse constitue un danger réel et présent pour leurs environnements », affirme Microsoft.
« En raison des nombreux logiciels et services qui sont impactés et compte tenu du rythme des mises à jour, on devrait mettre du temps à remédier au problème, ce qui nécessite une vigilance continue et durable. »
Cloudflare indiquait le mois dernier avoir détecté une activité liée à l’exploitation de ce code à distance dès le 1er décembre. Ce qui signifie que la vulnérabilité était connue depuis au moins neuf jours lorsqu’elle a été divulguée publiquement.
Source : ZDNet.com
