Faille Log4j : un an après, où en est-on ?

La bibliothèque qui fait couler autant d'encre qu'elle ne logue — Vous pensiez qu'on en avait terminé avec LA bibliothèque de journalisation Java, Apache Log4J ?

Et bien non ! Après les péripéties de fin 2021, la cybersécurité américaine y a été de sa petite code review.



Le comité de cybersécurité américain CSRB (Cyber Safety Review Board) a en effet publié un rapport de 52 pages précisant l'historique de la découverte de cette faille, qui date de bientôt un an, ses impacts passés et à venir, mais également ses recommandations pour le futur.

Ce comité, créé le 3 février 2022 (ère Biden) dans le but de mieux contrôler de prévenir tout risque lié au développement de logiciels qui pourrait nuire aux intérêts de différentes organisations, entreprises et/ou individus, dépend directement du département de la Sécurité intérieure des États-Unis (rien que ça !) et est composé d'élus et de grandes entreprises informatiques (guess who? 👀).

Et pour sa première affaire, le CSRB s'est donc penché sur... notre bon vieil utilitaire Log4J !


(Coucou les devs Java)

Le 11 juillet 2022 (et un peu en mode ninja commit), ce beau petit monde a donc publié un rapport au sujet des vulnérabilités découvertes en pagaille 7 mois plus tôt.

Ce document est plutôt bien structuré sans pour autant trop rentrer dans les détails techniques (pour cela, il suffit de se rendre sur le repo Github de Log4j 😉).

Plusieurs informations y sont présentées, comme une timeline des différents événements majeurs depuis la découverte de la vulnérabilité, ainsi que des recommandations, ou encore des arguments montrant la gravité de la situation...

En parlant de situation dangereuse, il y est fait mention de plusieurs entreprises (dont Microsoft et Cisco) ayant constaté des attaques potentiellement associées à la faille "Log4Shell".

Pour l'anecdote, on ne pourra s'empêcher de noter que les "menaces" mentionnées font majoritairement parties des adversaires historiques des États-Unis.



Pour un avenir plus safe, le rapport propose 19 recommandations plus ou moins générales pour prévenir d'autres bugs de cette ampleur, dont voici un résumé :

  • Sensibiliser les développeurs aux pratiques de sécurité
  • Surveiller la bibliothèque Log4j
  • Améliorer l'écosystème logiciel en investissant par exemple dans les formations cyber pour les développeurs ou la sécurité des logiciels open source
  • Impliquer les organisations gouvernementales dans la surveillance des applications à risque

Le comité alerte enfin sur le fait que la faille Log4j est devenue une "vulnérabilité endémique" dans les systèmes d'information, qui pourrait perdurer pendant 10 ans, voire plus.

Dans les faits, certaines entreprises risquent de rencontrer des difficultés pour mettre à jour la bibliothèque pour diverses raisons : mises à jour de livrables (il n'y a pas que le courrier qui a des difficultés à être livré parfois), multiples versions de Log4j utilisées dans différentes dépendances d'un projet (voyez l'arbre de dépendance d'un projet comme un plat de spaghettis collés qu'il faut démêler 🍝) et j'en passe et des meilleurs...

Le rapport, qui ne manque pas de touche politique, n'est certes pas rassurant mais propose des axes d'amélioration. Notons aussi que différentes livraisons du correctif ont eu lieu et devraient arrêter l'hémorragie pour l'instant (définitivement, on l'espère).

Pour l'heure et chez nous (si si je vous jure, on a un site dédié pour ça depuis le 19 janvier 1999 ! OK, je sors de ma grotte) le gouvernement français préconise d'utiliser au moins la version 2.17.1 pour Java 8 ou supérieur, 2.12.4 pour Java 7, et... rien pour les versions inférieures (Java 6... big up aux projets qui tournent encore sous cette version) !

À lire aussi sur Les Joies du Code :

À propos de l'auteur
@lbAtaR-KuN
Obélix est tombé dans la marmite de potion magique étant petit ? Et bien moi je suis tombé dans le dev logiciel en faisant une recherche Google à l'issue de mon BAC... Et maintenant, j'ai l'opportunité de partager mes frustra... euh mes joies du code avec vous !
Événements

Événement : la conférence phare de NVIDIA débarque à Paris, participez à GTC

Un aperçu de l'intérieur d'une conférence GTC - GTC Sans Jose

Événement — NVIDIA organise pour la première fois en Europe sa cultissime conférence GTC, un rendez-vous incontournable consacré à l’intelligence artificielle, au calcul accéléré et aux technologies émergentes.

Et devinez quoi ? Ça se passera à Paris (cocorico 🇫🇷) ! Du 10 au 12 juin, GTC prendra place au cœur du salon Viva Technology 2025, au Paris Expo Porte de Versailles. L’occasion rêvée de prendre part à cet événement majeur de la tech à l’échelle mondiale !

Je réserve ma place pour NVIDIA GTC Paris

# En partenariat avec NVIDIA

Du 10 au 12 juin, Paris devient le centre de gravité de l’IA mondiale

Eh oui les amis ! Parce que croyez-moi, on ne parle pas ici d’un petit stand calé entre deux robots baristas de démo dans un coin du salon.

GTC Paris se présente en effet comme une déclinaison en bonne et due forme de la conférence phare de NVIDIA, et s’annonce tout aussi ambitieuse que sa grande sœur californienne.

Celle-ci sera présente au Pavillon 7 du complexe, où seront exposées des solutions de l’écosystème IA, et où se dérouleront des dizaines de conférences.

Au programme : des keynotes de haut niveau, des démos concrètes, des sessions techniques pour tous les profils et des tables rondes avec des experts, des startups et de grands groupes et industries.

Les sujets abordés porteront sur de nombreuses thématiques, parmi lesquelles : l’entraînement et l’inférence de l’IA, l’IA agentique, les infrastructures (data center, cloud) dédiées à l’IA, le calcul haute performance (HPC), l’informatique quantique, la robotique et l’IA industrielle, ou encore l’IA souveraine.

Ce sera également l’occasion de vous faire tirer votre portrait par l’IA au Developer Wall, une installation immersive présentée sous forme de fresque numérique valorisant la communauté des développeurs en temps réel. Conçue en collaboration avec l’IA Deep Art et le moteur graphique Notch, elle se renouvelle toutes les 30 secondes pour transformer votre profil et vos contributions en véritables œuvres d’art.

Le Dev Wall à NVIDIA GTC pour afficher vos plus beaux portraits générés par IA

Je m’inscris à GTC Paris

Preuve de l’importance de l’événement : le fondateur et CEO emblématique de NVIDIA, Jensen Huang lui-même, prendra la parole lors d’une keynote d’ouverture le 11 juin à 11 heures au Dôme de Paris.

Il y présentera les dernières avancées technologiques de NVIDIA ainsi que sa vision de l’intelligence artificielle — thème majeur de la 9ème édition de VivaTech — et de l’innovation.

Le PDG de NVIDIA Jensen Huang en train de donner une keynote à GTC

La keynote est incluse dans les pass GTC ou VivaTech, et sera également diffusée en ligne gratuitement.

Bon à noter : l'obtention d'un pass GTC vous donnera un accès intégral à VivaTech. 👀

Avis aux intéressés : cette intervention se tiendra de toute évidence à guichets fermés, je ne peux que vous recommander chaleureusement de venir bien (bien bien bien) avant l’ouverture des portes ! 😉

Musclez votre jeu de développeur avec les ateliers et formations de NVIDIA GTC Paris

MAIS CE N’EST PAS TOUT !

Car au-delà des talks et démos, GTC Paris vous propose aussi de passer à l’action.

Le 10 juin, veille de l’ouverture officielle de VivaTech, NVIDIA vous donne rendez-vous pour toute une série d’ateliers techniques immersifs, animés par des formateurs de son Deep Learning Institute (DLI).

L’objectif : monter en compétences, manipuler les outils et solutions NVIDIA de nouvelle génération, mais aussi repartir avec une certification NVIDIA officielle — avouez que ça claque fort sur le CV. 👀

Je m’inscris aux ateliers techniques NVIDIA (10 juin)

Parmi les sessions proposées par NVIDIA sur cette journée :

  • L’ajout de nouvelles connaissances aux grands modèles de langage (LLM), qui explorera l’adaptation des LLM à vos propres cas d’usage, de la préparation des données à leur fournir jusqu’à la mise en prod.
  • Le développement d’agents IA multimodaux, capables de traiter différents types de données en explorant plusieurs techniques de fusion.
  • CUDA, Omniverse, Robotique et RAG : des ateliers plus pointus pour les profils déjà expérimentés.

À l’occasion de GTC Paris, un tarif spécial est appliqué sur ces ateliers techniques, proposés à 275 € TTC la journée, certification incluse, au lieu de 485 € en tarif standard.

À noter que tous les ateliers se dérouleront in English et se tiendront également à Paris Expo Porte de Versailles.

Concours Les Joies du Code : tentez de remporter une NVIDIA®GeForce RTX™ 4080 !

Pour marquer cet événement exceptionnel, une carte graphique NVIDIA®GeForce RTX™ 4080 Founders Edition est mise exclusivement en jeu pour la communauté des Joies du Code ! 🤩

Carte graphique NVIDIA®GeForce RTX™ 4080

Pour prendre part à ce concours, rien de compliqué (vous me voyez venir, non ? 😉) : il vous suffit de participer à GTC Paris !

  • Réservez votre pass de 2 jours à GTC Paris (11 et 12 juin)
  • Partagez une photo de votre badge GTC sur X, LinkedIn ou Bluesky
  • Mentionnez Les Joies du Code et le hashtag #GTCParis
  • La participation à un atelier le 10 juin doublera vos chances de gagner (pensez également à prendre en photo le bracelet qui vous sera remis 💡) !

📆 Tirage au sort le lundi 16 juin à 10h

Je m’inscris dès maintenant à GTC Paris

Je serai personnellement à GTC pour couvrir l’événement et rencontrer sa communauté, n’hésitez pas à me faire signe si vous voulez qu’on s’y capte ! 👋