Une faille découverte en renommant un iPhone

Changer le nom d’un appareil permet d’obtenir des informations sur les serveurs d’Apple grâce à la faille Log4Shell.

Depuis bientôt deux semaines, la faille Log4Shell secoue Internet. Cette vulnérabilité découverte par des chercheurs en cybersécurité met en danger un grand nombre d’appareils et de services à travers le monde. Comme son nom l’indique, la faille est présente dans Log4j, un outil utilisé dans les applications Java pour enregistrer les activités et les erreurs. La très simple utilisation de la faille, une seule ligne de code suffit, la rend particulièrement dangereuse, car elle permet d’exécuter facilement du code à distance.

Une grande partie des entreprises à travers le monde est touchée par cette faille. C’est notamment le cas d’Apple et de Tesla. Des chercheurs ont dévoilé qu’il suffisait de renommer un iPhone ou une Tesla avec une ligne de code particulière pour exploiter cette faille et obtenir un « ping » des serveurs d’Apple et de Tesla. Un ping est une commande informatique permettant de tester l’accessibilité d’une autre machine à travers un réseau. Ce ping permet de savoir que les serveurs sont vulnérables à la faille Log4Shell et d’obtenir des informations sur eux.

Les tests des chercheurs leur ont permis de constater que les serveurs se rendaient bien sûr l’URL inclue dans le la ligne de code. Si dans le cadre de ces expérimentations, l’URL choisie était bien évidemment inoffensive, les chercheurs indiquent toutefois que les conséquences pourraient être particulièrement graves et pourraient permettre d’exécuter du code malveillant. Une action qui ne devrait pas être possible en renommant simplement un appareil.

Des correctifs ont déjà été déployés pour colmater cette faille de sécurité, mais le nombre d’appareils sensible à cette vulnérabilité étant particulièrement élevé, il faudra du temps avant que toutes les machines soient mises à jour et protégée.