Québec a annoncé dimanche midi avoir fait fermer de manière « préventive » des sites internet et des services en ligne le temps de faire des vérifications liées à une vulnérabilité informatique. La Ville de Montréal a annoncé la même chose dimanche soir.
Le cabinet du ministre délégué à la Transformation numérique a affirmé, par voie de communiqué, qu’une « faille de sécurité » découverte récemment « met à risque un très grand nombre de serveurs et systèmes informatiques à l’échelle mondiale ».
« Dès qu’il a pris connaissance de cette vulnérabilité le 10 décembre, le Centre gouvernemental de cyberdéfense a avisé les différents centres opérationnels de cyberdéfense, ainsi que les dirigeants de l’information, des mesures à prendre afin de la détecter dans leurs actifs informationnels et de la corriger », soutient Québec.
De plus, « le dirigeant principal de l’information a demandé aux organismes publics québécois de fermer les sites et les services accessibles par internet ». Ces derniers « ne pourront être de nouveau disponibles que s’il est confirmé qu’ils ne sont pas visés par la vulnérabilité ou que celle-ci a été corrigée ».
En début d’après-midi dimanche, « aucune exploitation de cette vulnérabilité sur des serveurs ou des systèmes » n’avait été détectée. La plateforme d’hébergement de contenu informationnel de l’État, Québec.ca, « demeure en fonction puisque les analyses ont été réalisées vendredi et les correctifs nécessaires apportés ».
En soirée dimanche, la Ville de Montréal a aussi annoncé la suspension préventive et temporaire de services numériques, « afin de prévenir toute potentielle menace ».
Comment ça fonctionne?
Selon Crypto.Québec, organisme qui se spécialise en production d’informations sur la sécurité informatique, la vulnérabilité Log4Shell « affecte la plupart des grandes organisations, gouvernements, applications et fournisseurs de services en ligne ».
Et ce, parce que cette vulnérabilité est « reliée à une librairie du langage de programmation Java qui se nomme Log4j », qui elle sert à « faciliter la journalisation de l’information à travers une application web » et à créer un répertoire « de toutes les activités, actions, contenus utilisés à travers une application web », comme des messages et des discussions en ligne.
« Quelqu’un peut envoyer des messages qui sont journalisés par Log4j comme s’ils étaient des simples messages dans une discussion en ligne, mais en fait, ce sont des lignes de codes. Et le système les interprète comme une ligne de code et exécute la commande reliée à ce code », explique l’organisme.
Ainsi, « un acteur malveillant peut injecter des lignes de codes qui, lorsqu’elles passent dans les filets de Log4j, font en sorte que le système détecte ces lignes de codes comme une requête à exécuter ». Bref, « cette vulnérabilité vise surtout les entreprises et les données qu’elles possèdent ». Sans vérification et correction de systèmes, il pourrait en résulter « de l’exfiltration de données d’utilisateurs et de la fraude ».
Lire aussi :
Des sites internet aussi fermés au Canada en raison de la vulnérabilité Log4Shell
Corriger des applications liées aux vulnérabilités Log4j peut prendre des années
