Québec et Montréal ferment des services en ligne en raison de la vulnérabilité Log4Shell

Québec a annoncé dimanche midi avoir fait fermer de manière « préventive » des sites internet et des services en ligne le temps de faire des vérifications liées à une vulnérabilité informatique. La Ville de Montréal a annoncé la même chose dimanche soir.Logo du gouvernement du Québec

Le cabinet du ministre délégué à la Transformation numérique a affirmé, par voie de communiqué, qu’une « faille de sécurité » découverte récemment « met à risque un très grand nombre de serveurs et systèmes informatiques à l’échelle mondiale ».

« Dès qu’il a pris connaissance de cette vulnérabilité le 10 décembre, le Centre gouvernemental de cyberdéfense a avisé les différents centres opérationnels de cyberdéfense, ainsi que les dirigeants de l’information, des mesures à prendre afin de la détecter dans leurs actifs informationnels et de la corriger », soutient Québec.

De plus, « le dirigeant principal de l’information a demandé aux organismes publics québécois de fermer les sites et les services accessibles par internet ». Ces derniers « ne pourront être de nouveau disponibles que s’il est confirmé qu’ils ne sont pas visés par la vulnérabilité ou que celle-ci a été corrigée ».

En début d’après-midi dimanche, « aucune exploitation de cette vulnérabilité sur des serveurs ou des systèmes » n’avait été détectée. La plateforme d’hébergement de contenu informationnel de l’État, Québec.ca, « demeure en fonction puisque les analyses ont été réalisées vendredi et les correctifs nécessaires apportés ».

En soirée dimanche, la Ville de Montréal a aussi annoncé la suspension préventive et temporaire de services numériques, « afin de prévenir toute potentielle menace ».

Comment ça fonctionne?

Selon Crypto.Québec, organisme qui se spécialise en production d’informations sur la sécurité informatique, la vulnérabilité Log4Shell « affecte la plupart des grandes organisations, gouvernements, applications et fournisseurs de services en ligne ».

Et ce, parce que cette vulnérabilité est « reliée à une librairie du langage de programmation Java qui se nomme Log4j », qui elle sert à « faciliter la journalisation de l’information à travers une application web » et à créer un répertoire « de toutes les activités, actions, contenus utilisés à travers une application web », comme des messages et des discussions en ligne.

« Quelqu’un peut envoyer des messages qui sont journalisés par Log4j comme s’ils étaient des simples messages dans une discussion en ligne, mais en fait, ce sont des lignes de codes. Et le système les interprète comme une ligne de code et exécute la commande reliée à ce code », explique l’organisme.

Ainsi, « un acteur malveillant peut injecter des lignes de codes qui, lorsqu’elles passent dans les filets de Log4j, font en sorte que le système détecte ces lignes de codes comme une requête à exécuter ». Bref, « cette vulnérabilité vise surtout les entreprises et les données qu’elles possèdent ». Sans vérification et correction de systèmes, il pourrait en résulter « de l’exfiltration de données d’utilisateurs et de la fraude ».

Lire aussi :

Des sites internet aussi fermés au Canada en raison de la vulnérabilité Log4Shell

Corriger des applications liées aux vulnérabilités Log4j peut prendre des années

Francisation du vocabulaire de la sécurité informatique

Articles connexes

Bris de la confidentialité de renseignements personnels de candidats à Québec

Des documents et des fichiers du gouvernement du Québec contenant des renseignements personnels au sujet de 31 540 personnes ont été trouvés sur des supports informatiques externes au domicile d’un employé de la fonction publique.

Québec veut plus de numérique en éducation

Un montant de 10,6 millions de dollars sera utilisé sur deux ans par le gouvernement du Québec pour intégrer plus d'outils numériques de gestion et de prise de décisions au ministère de l’Éducation et au réseau scolaire.

Log4Shell : assouplissement d’une obligation fiscale pour les entreprises

Les entreprises qui ne peuvent avoir accès à des services en ligne de Revenu Québec en raison de la fermeture temporaire des services publics en ligne de l’administration publique du Québec auront droit à l’assouplissement d’une date d’échéance.

Log4Shell : reprise des services numériques de la Ville de Montréal

Les services numériques suspendus temporairement par la Ville de Montréal sont désormais accessibles.

Requalification de la main-d’oeuvre vers le secteur des TI financée par l’État québécois

La requalification et la formation de la main-d’oeuvre vers le secteur des technologies de l’information (TI), en particulier vers le secteur privé, profitera d’une aide financière publique de 151 millions de dollars de la part de Québec.