16 déc
2021

L'APD met en garde contre un risque de sécurité dans l'application Log4j

L’Autorité de protection des données (APD) et le Centre pour la Cybersécurité Belgique (CCB) signalent un risque de sécurité dans l’application couramment utilisée « Log4j ». La vulnérabilité, cataloguée comme CVE-2021-44228, est une exécution de code à distance (RCE) non authentifiée.

Cette vulnérabilité affecte également les configurations par défaut de plusieurs applications Apache, notamment Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc.

De plus, d'autres organisations mainstream ont confirmé que leur logiciel est vulnérable à la vulnérabilité Log4j : Apple, Amazon, Twitter, Steam, Baidu, NetEase, Tencent, Elastic, etc.

Il est demandé aux responsables du traitement ainsi qu’à leurs sous-traitants/fournisseurs qui utilisent l’application Log4j d’exécuter les actions recommandées par le CCB (avis CERT #2021-21). Plus précisément, toutes les versions de 2.0 à 2.15 de l’application Log4j ont été identifiées comme vulnérables.

Les responsables du traitement doivent mener une enquête sur l'intégrité et la confidentialité. Plus d'informations sur la manière de mener cette enquête sont disponibles sur le site du CERT.

Les responsables du traitement qui ont déjà constaté une violation ou un incident sont encouragés à le signaler via la page dédiée sur le site du CERT.

Les incidents de sécurité qui impliquent également une violation de données doivent être notifiés à l'Autorité de protection des données conformément à l’article 33 du RGPD.

Données de contact