Archives de l’auteur : webmaster.nrc

Faille Java Log4j : recommandations

Log4J : une faille critique qui inquiète

La faille Log4j (ou “Log4Shell” pour les intimes) est une vulnérabilité critique (CVE-2021-44228) publiée le 9 décembre et qui permet l’exécution de code à distance de manière non authentifiée sur les serveurs hébergeant les applications vulnérables.

Cette faille critique a été découverte dans Java Log4j, une bibliothèque de logs Apache dont se servent des millions d’applications Java, utilisée dans une multitude de logiciels d’entreprise, sur des plateformes cloud et dans nombre d’applications open source.

Autant dire que le risque d’exploitation frauduleuse est grand, et des chercheurs en cybersécurité de Sophos ont révélé plusieurs dizaines de milliers de tentatives d’exécution de code à distance et de scans de vulnérabilité dans les jours qui ont suivi l’annonce publique.

Des attaquants utilisent des réseaux de botnets (machines fantômes) comme Mirai ou Mushtik pour tenter d’installer Log4j sur des terminaux détectés comme vulnérables, comme l’explique 360 Netlab sur Twitter

D’autres, selon Microsoft, préparent le terrain à l’exécution de ransomwares, ou encore à la diffusion de mineurs de cryptomonnaies.

Toutes les entreprises sont donc concernées et doivent rapidement prendre les mesures nécessaires.

 

Que faire pour se protéger ?

Comme toujours, la règle de base est d’effectuer les mises à jour de sécurité : Il convient donc de mettre à jour Log4j en version 2.15.0 dès que possible.

Le CertFR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) a publié un bulletin d’alerte assorti de recommandations à appliquer en urgence pour tenter d’endiguer la menace à l’échelle de votre entreprise.

Consultez le bulletin de sécurité du CERT-FR

Pour aller plus loin : 
Les applications touchées (liste mise à jour régulièrement)
Pour vérifier si la faille a eu le temps d’être exploitée
Le CERT ANSSI et l’évolution des vulnérabilités log4J

Des questions ? Besoin d’un accompagnement personnalisé ? Contactez-nous

Télétravail & Sécurité : mise en place

L’actualité du COVID-19 et les annonces du gouvernement vous amènent à mettre en place du télétravail pour vos collaborateurs.

Dans l’article précédent nous avons vu comment bien se protéger si votre système d’information permet déjà de faire du télétravail.

Mais que faire quand vous partez de zéro, ou presque ? Lire la suite

home office

Télétravail : n’oubliez pas la sécurité !

L’actualité du COVID-19 et les annonces du gouvernement vous amènent à mettre en place du télétravail pour vos collaborateurs.

Dans l’urgence, vous pouvez être tentés de mettre en œuvre des accès externes non prévus dans le système en place.

Il est très important de maîtriser la sécurité de ces accès car vous pouvez infecter les ressources de l’entreprise immédiatement via par exemple l’injection de cryptolockers. Lire la suite

Nouveautés Paie de janvier 2020

En ce début d’année, un article un peu technique pour résumer les principales nouveautés paie du mois de janvier. Au programme : Allègement général des cotisations patronales, prime exceptionnelle pour le pouvoir d’achat, taxe d’apprentissage… et plus pour les amateurs de nouveautés ! Lire la suite

Recouvrement de créances : levons les tabous !

Saviez-vous que 85,9% des entreprises B2B françaises étaient impactées par les retards de paiement ? Tout de suite, on se sent moins seul ! Maintenant que le tabou est levé, prenons quelques minutes pour faire le point sur le sujet et trouver des solutions… Lire la suite

Loi égalité femmes-hommes : quelles obligations ?

A partir du 1er mars 2020, les entreprises de plus de 50 salariés devront se soumettre aux nouvelles obligations légales concernant l’égalité salariale. Passons en revue le cadre légal, les risques encourus et les actions à mettre en place. Lire la suite