Opentime n'est pas impacté par la faille de sécurité Log4Shell
SécuritéLogicielNewsletter

Opentime n'est pas impacté par la faille de sécurité Log4Shell

Publication initiale le 14/12/2021
2 min de lecture

Depuis quelques jours, vous avez peut-être entendu parler par votre DSI ou dans la presse d'une faille de sécurité qui a impacté de nombreux logiciels et applications. La team Opentime s'est penchée cette semaine sur cette faille afin de vous éclairer rapidement sur son apparition et sur les raisons pour lesquelles elle ne concerne pas le logiciel web Opentime.

Qu'est-ce que cette faille de sécurité et d'où provient-elle ?

La faille Log4Shell (CVE-2021-44228) a été signalée le 24 novembre à Apache par l'entreprise Alibaba. Le 10 décembre, elle a été annoncée par la BSI, agence nationale allemande de la sécurité des systèmes d'information comme une faille de la plus haute dangerosité (10 sur 10 dans l'échelle utilisée) en raison de sa capacité de propagation et de la simplicité d'y accéder pour les cybercriminels.

Il s'agit d'une faille de vulnérabilité dans la bibliothèque open source Log4j, une bibliothèque de langage java développée par la fondation Apache.

Qu'est ce qu'une bibliothèque et pourquoi est-ce une faille dangereuse ?

Une bibliothèque est composée d'un ensemble de lignes de codes écrites par un développeur expérimenté qui peuvent être utilisées par d'autres dans le développement d'un logiciel afin de s'appuyer sur des programmes éprouvés.

Selon un article du Monde sur le sujet : « dans ce cas précis, Log4j est une bibliothèque du langage Java qui sert à enregistrer l’activité (les logs) d’une application ».

C'est donc une bibliothèque utilisée par de nombreuses entreprises et organisations qui s'appuient sur Java sur leurs serveurs.

Log4Shell est une faille qui permet à une personne externe d'exécuter du code sans être authentifié sur les applications qui utilisent cette bibliothèque. Elle est dangereuse puisqu'elle peut aller jusqu'a permettre à des cybercriminels de prendre le contrôle complet d'un serveur et d'accéder à de nombreuses informations personnelles.

Tous les logiciels qui utilisent cette bibliothèque doivent mettre en place une mise à jour publiée par Apache pour éviter de nouveaux risques d'intrusion.

Pourquoi nos clients ne sont pas concerné par cette faille à travers Opentime ?

Bonne nouvelle, sur Opentime, nos clients ne sont pas concernés par la faille Log4Shell puisque nous n'utilisons pas d'applications en java dans notre stack technique.

En effet, la liste des outils technologiques que nous utilisons se compose principalement de PHP, MariaDB et Freebsd, des choix technologiques qui ne sont pas impactés par cette faille.

Technologies utilisées sur Opentime

Si vous avez toutefois entendu parler d'Apache sur Opentime, c'est parce que notre serveur HTTP est celui développé par la fondation Apache. Et quitte à se répéter nous ne faisons pas appel à la bibliothèque Java baptisée Log4j et développée par cette même fondation.

Si vous avez d'autres questions, n'hésitez pas à nous contacter par téléphone ou par mail pour en discuter !