Le comité d’examen, que la Maison Blanche a créé l’année dernière pour enquêter sur les incidents majeurs de cybersécurité, a appelé le gouvernement et le secteur privé à investir beaucoup plus dans la sécurisation des logiciels open source qui sous-tendent l’infrastructure informatique mondiale.
“Le gouvernement américain est un important consommateur de logiciels et devrait être un moteur de changement sur le marché en ce qui concerne les exigences en matière de transparence des logiciels”, a déclaré le rapport du Conseil d’examen de la cybersécurité soutenu par le DHS, qui se compose de responsables gouvernementaux et de cadres d’éminents entreprises de cybersécurité.
La vulnérabilité endémique examinée par le conseil se trouve dans un logiciel connu sous le nom de “Log4J” que les entreprises technologiques d’Amazon à IBM utilisent dans leurs logiciels. Les responsables américains ont estimé que des centaines de millions d’appareils dans le monde étaient exposés à la faille lors de sa divulgation publique en décembre.
Le fait que la faille Log4J soit facile à exploiter pour les pirates et offre une prise de pied potentiellement utile dans les systèmes informatiques a déclenché la sonnette d’alarme dans les salles de réunion et les agences gouvernementales du monde entier. L’administration Biden a ordonné à toutes les agences civiles fédérales de régler rapidement le problème. Le conseil d’administration du DHS a qualifié jeudi la faille de “vulnérabilité endémique”, soulignant à quel point elle sera durable dans l’écosystème logiciel.
Mais bien qu’il y ait eu des rapports faisant état de gangs de rançongiciels et de gouvernements de la Chine à la Turquie exploitant la vulnérabilité du logiciel, les piratages à fort impact que certains analystes anticipaient ne se sont pas encore matérialisés.
“Au moment de la rédaction de cet article, le conseil n’a connaissance d’aucune attaque significative basée sur Log4j sur des systèmes d’infrastructure critiques”, a écrit le panel soutenu par le DHS.
