Depuis quelques jours une vulnérabilité jugée très importante affole les entreprises. Il y a de quoi car il s’agit d’une faille de sécurité importante et à prendre au sérieux au vu de la simplicité d’utilisation par une personne malveillante pour s’introduire dans un système.
Logj4 : De quoi parle t-on exactement ?
Il s’agit d’une vulnérabilité qui a été découverte dans la bibliothèque de journalisation log4j des serveurs Apache. Cette bibliothèque est très utilisée dans les projets de développement d’applications Java ainsi que les éditeurs de solutions basées sur Java. Cette vulnérabilité permet à une personne malveillante de provoquer une exécution de code arbitraire à distance s’il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j. Cette attaque est donc classée critique étant donné qu’elle peut être réalisée sans être authentifié !
Des preuves de concept ont déjà été publiées et cette vulnérabilité fait désormais l’objet d’une exploitation active et massive. Le monde de l’IT est actuellement à pied d’oeuvre dans les entreprises afin de patcher massivement, les serveurs et/ou appliquer des mesures de contournement visant à désactiver cette bibliothèque le cas échéant, pour empêcher l’exploitation de cette faille.
Qui est touché par cette faille ?
La CVE-2021-44228 impacte un très grand nombre de systèmes est serveurs. Pour être plus complet, il s’agit des versions 2.0 beta9 à 2.14.1 qui sont touchées. Apache étant le logiciel permettant de créer un serveur web des plus utilisés dans le monde. L’impact de cette faille de sécurité prend tout de suite une ampleur importante. Apple à déjà annoncé que cette faille de sécurité avait touché iCloud et l’avoir patché. Les serveurs Steam, Minecraft ou encore Twitter font également partie de la longue liste de serveurs affectés par cette faille zero-day. Tous sont en train de travailler pour rendre l’exploit inefficace, mais qu’en est-il de la domotique dans tout ça ?
Quels risques pour la domotique ?
Plusieurs craintes planent autour de nos solutions domotiques et c’est légitime. On sait par exemple que Jeedom s’appuie sur un serveur web, Home Assistant également. Mais fort heureusement, cette vulnérabilité touche très spécifiquement le code qui exploite Java et utilise cette fameuse bibliothèque, ce qui limite tout de même un peu le scope. Les systèmes domotiques Jeedom et Home Asssitant n’étant pas développés en Java, cette vulnérabilité ne les affecte pas. L’équipe Jeedom l’a d’ailleurs mentionné sur son forum afin de rassurer sa communauté. Du côté de Home Assistant aussi les messages sont rassurants. En effet, Home Assistant repose sur un langage Python et donc pas sur Java. Des utilisateurs ont d’ailleurs scanné le système à la recherche de la bibliothèque log4j sans succès.
Attention toutefois, car si le core n’est pas affecté, les nombreux développements tiers et intégrations pourraient comporter du Java. Il y a toutefois assez peu de chances. Quelques alertes ont émergés sur le forum HA, mais se sont rapidement avérée fausses. Un utilisateur a par exemple mentionné le fait que l’intégration zwavejs2mqtt utilisait la bibliothèque log4Shell. Rapidement cela a été démenti par les développeurs qui ont confirmé ne pas utiliser de Java pour leur intégration, mais du JavaScript/TypeScript. Ce n’est pas du tout la même chose, mais cela peut rapidement porter à confusion.
D’autres systèmes comme Fibaro ont également confirmé que leur système domotique, lui aussi n’utilise pas cette bibliothèque log4j.
Peu de risque pour la domotique, mais vigilance !
Nos systèmes domotiques sont donc pour le moment écartés par cette brèche, mais il reste important de faire les mises à jour de votre système et ses plugins vers les dernières versions. Au-delà des nouvelles fonctionnalités, les mises à jour apportent également plusieurs corrections qui concernent la sécurité. Une fois encore avec cet exploit Log4J, on constate que le risque zéro n’existe pas, il convient alors de rester vigilant et bien effectuer les mises à jour régulièrement pour limiter les risques.
Comment mettre à jour Jeedom v4 vers v4.1 : Deux méthodes pour y parvenir
Après l’officialisation de Jeedom V4 il y a quelques semaines et notre guide de mise à jour de la version 3 vers la version 4, Jeedom n’a pas chômé et ce mois l’équipe nous propose une nouvelle mise à jour…
Comment mettre à jour Jeedom vers la V4 ?
Voilà maintenant un moment que Jeedom est disponible dans sa dernière version majeure V4, mais vous êtes toujours sur une version 3 avec votre Jeedom installé sur votre Raspberry Pi ou votre Smart. Vous voudriez profiter de la dernière version…
Add Comment