Accueil » Domotique » Actu domotique » Log4j et la domotique : La faille de sécurité qui fait trembler le web représente-t-elle un risque pour la maison connectée ?
Actu domotique

Log4j et la domotique : La faille de sécurité qui fait trembler le web représente-t-elle un risque pour la maison connectée ?

log4j-apache-domotique-exploit-zeroday-risk

Depuis quelques jours une vulnérabilité jugée très importante affole les entreprises. Il y a de quoi car il s’agit d’une faille de sécurité importante et à prendre au sérieux au vu de la simplicité d’utilisation par une personne malveillante pour s’introduire dans un système.

Logj4 : De quoi parle t-on exactement ?

Il s’agit d’une vulnérabilité qui a été découverte dans la bibliothèque de journalisation log4j des serveurs Apache. Cette bibliothèque est très utilisée dans les projets de développement d’applications Java ainsi que les éditeurs de solutions basées sur Java. Cette vulnérabilité permet à une personne malveillante de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j. Cette attaque est donc classée critique étant donné qu’elle peut être réalisée sans être authentifié !

Des preuves de concept ont déjà été publiées et cette vulnérabilité fait désormais l’objet d’une exploitation active et massive. Le monde de l’IT est actuellement à pied d’oeuvre dans les entreprises afin de patcher massivement, les serveurs et/ou appliquer des mesures de contournement visant à désactiver cette bibliothèque le cas échéant, pour empêcher l’exploitation de cette faille.

Qui est touché par cette faille ?

La CVE-2021-44228 impacte un très grand nombre de systèmes est serveurs. Pour être plus complet, il s’agit des versions 2.0 beta9 à 2.14.1 qui sont touchées. Apache étant le logiciel permettant de créer un serveur web des plus utilisés dans le monde. L’impact de cette faille de sécurité prend tout de suite une ampleur importante. Apple à déjà annoncé que cette faille de sécurité avait touché iCloud et l’avoir patché. Les serveurs Steam, Minecraft ou encore Twitter font également partie de la longue liste de serveurs affectés par cette faille zero-day. Tous sont en train de travailler pour rendre l’exploit inefficace, mais qu’en est-il de la domotique dans tout ça ?

Quels risques pour la domotique ?

Plusieurs craintes planent autour de nos solutions domotiques et c’est légitime. On sait par exemple que Jeedom s’appuie sur un serveur web, Home Assistant également. Mais fort heureusement, cette vulnérabilité touche très spécifiquement le code qui exploite Java et utilise cette fameuse bibliothèque, ce qui limite tout de même un peu le scope. Les systèmes domotiques Jeedom et Home Asssitant n’étant pas développés en Java, cette vulnérabilité ne les affecte pas. L’équipe Jeedom l’a d’ailleurs mentionné sur son forum afin de rassurer sa communauté. Du côté de Home Assistant aussi les messages sont rassurants. En effet, Home Assistant repose sur un langage Python et donc pas sur Java. Des utilisateurs ont d’ailleurs scanné le système à la recherche de la bibliothèque log4j sans succès.

Attention toutefois, car si le core n’est pas affecté, les nombreux développements tiers et intégrations pourraient comporter du Java. Il y a toutefois assez peu de chances. Quelques alertes ont émergés sur le forum HA, mais se sont rapidement avérée fausses. Un utilisateur a par exemple mentionné le fait que l’intégration zwavejs2mqtt utilisait la bibliothèque log4Shell. Rapidement cela a été démenti par les développeurs qui ont confirmé ne pas utiliser de Java pour leur intégration, mais du JavaScript/TypeScript. Ce n’est pas du tout la même chose, mais cela peut rapidement porter à confusion.

D’autres systèmes comme Fibaro ont également confirmé que leur système domotique, lui aussi n’utilise pas cette bibliothèque log4j.

Peu de risque pour la domotique, mais vigilance !

Nos systèmes domotiques sont donc pour le moment écartés par cette brèche, mais il reste important de faire les mises à jour de votre système et ses plugins vers les dernières versions. Au-delà des nouvelles fonctionnalités, les mises à jour apportent également plusieurs corrections qui concernent la sécurité. Une fois encore avec cet exploit Log4J, on constate que le risque zéro n’existe pas, il convient alors de rester vigilant et bien effectuer les mises à jour régulièrement pour limiter les risques.

guide-maj-jeedom-v4-1-migration-tuto

Comment mettre à jour Jeedom v4 vers v4.1 : Deux méthodes pour y parvenir

Après l’officialisation de Jeedom V4 il y a quelques semaines et notre guide de mise à jour de la version 3 vers la version 4, Jeedom n’a pas chômé et ce mois l’équipe nous propose une nouvelle mise à jour…

comment-faire-maj-jeedom-v3-vers-v4-guide-complet

Comment mettre à jour Jeedom vers la V4 ?

Voilà maintenant un moment que Jeedom est disponible dans sa dernière version majeure V4, mais vous êtes toujours sur une version 3 avec votre Jeedom installé sur votre Raspberry Pi ou votre Smart. Vous voudriez profiter de la dernière version…


Domo-blog a fait le choix de ne pas polluer votre lecture avec de la publicité. Vous trouverez cependant des liens affiliés vers les produits recommandés dans le contenu. Cela ne perturbe en rien votre experience de lecture et permet de financer le blog.
Vous pouvez également soutenir le blog en m'offrant un café sur Ko-Fi.


discord

Restez connecté aux nouveautés domotiques, inscrivez-vous à notre newsletter

A propos de cet auteur

Aurélien Brunet

Chef de projet informatique, anciennement informaticien spécialisé dans l'IT industrielle, le réseau et les bases de données. Un peu geek à mes heures perdues, je me suis mis à la domotique en 2012 pour sécuriser mon domicile.
Depuis, je teste, j’installe, je code, j’améliore mon installation et surtout, je partage avec vous mon expertise via ce blog et mon podcast Domotique Chronique pour améliorer votre quotidien dans la maison connectée !

Add Comment

Cliquez ici pour poster un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

construction et domotique
promos domotique
Choix box domotique
promos domotique

Logj4 : De quoi parle t-on exactement ?

Il s’agit d’une vulnérabilité qui a été découverte dans la bibliothèque de journalisation log4j des serveurs Apache. Cette bibliothèque est

Qui est touché par cette faille ?

La CVE-2021-44228 impacte un très grand nombre de systèmes est serveurs. Pour être plus complet, il s’agit des versions 2.0

Quels risques pour la domotique ?

Plusieurs craintes planent autour de nos solutions domotiques et c’est légitime. On sait par exemple que Jeedom s’appuie sur un

Peu de risque pour la domotique, mais vigilance !

Nos systèmes domotiques sont donc pour le moment écartés par cette brèche, mais il reste important de faire les mises

  • Logj4 : De quoi parle t-on exactement ?
  • Qui est touché par cette faille ?
  • Quels risques pour la domotique ?
  • Peu de risque pour la domotique, mais vigilance !