FTC aux entreprises : corrigez Log4j dès que possible ou subissez notre colère

La Federal Trade Commission a un message pour les entreprises qui ne prennent pas à cœur la menace posée par log4j : rafistolez ou engagez un avocat. Considérez-vous avertis.

À ce jour, vous avez sûrement entendu parler du bogue susmentionné : il s'agit d'une grande et terrible vulnérabilité de sécurité ( CVE-2021-44228 ) qui trouble actuellement de vastes pans d'Internet (il existe en fait plusieurs vulnérabilités qui ont été découvertes, mais la première est ce qui est causant la plupart des problèmes). En effet, depuis sa découverte début décembre, log4j a forcé un grand nombre des plus grandes entreprises du Web à brouiller et à corriger leurs produits et systèmes avant que les pirates criminels ne puissent les atteindre. Mardi, la FTC a lancé un avertissement sévère aux entreprises qui ne donnent peut-être pas la priorité à l'ensemble de ce processus.

« Il est essentiel que les entreprises et leurs fournisseurs qui s'appuient sur Log4j agissent maintenant, afin de réduire la probabilité de préjudice pour les consommateurs et d'éviter des poursuites judiciaires de la FTC », a déclaré l'agence, dans un communiqué , notant que les bogues associés posent actuellement « un risque grave pour des millions de produits grand public pour les logiciels d'entreprise et les applications Web. La FTC a ajouté qu'elle "utilisera toute son autorité légale pour poursuivre les entreprises qui ne prennent pas de mesures raisonnables pour protéger les données des consommateurs contre l'exposition à la suite de Log4j, ou de vulnérabilités connues similaires à l'avenir".

La FTC a le pouvoir de poursuivre les entreprises pour des pratiques de sécurité inférieures aux normes qui mettent en danger les données des clients. (Une décision de la Cour d'appel des États-Unis en 2015 en a décidé ainsi .) Ce n'est pas la première fois que la FTC prend des mesures contre des entreprises pour ne pas en faire assez pour protéger les données des personnes. En 2017, par exemple, la FTC a poursuivi le fournisseur de matériel IoT taïwanais D-Link et sa filiale américaine pour leur fausse déclaration sur la sécurité de ses produits de maison intelligente. L'agence a également aidé à obtenir un règlement de 7o0 millions de dollars d'Equifax en 2019 après que la société de crédit ait subi une violation de données cataclysmique .

La nouvelle annonce de la FTC peut sembler un peu agressive, mais elle est certainement sensée ; la vulnérabilité log4j a déjà entraîné une immense quantité de problèmes, notamment une cascade d'activités malveillantes et un certain nombre d' incidents de piratage très médiatisés . Le bogue, qui existe dans une bibliothèque de journalisation gratuite et open source publiée par Apache, est utilisé par la majorité des principales plates-formes sur lesquelles la plupart des Américains s'appuient. (Pensez à des marques comme Amazon, Apple, Cloudflare, Twitter, LinkedIn, etc.)

Pour donner aux entreprises des ressources utiles plutôt que de simples menaces juridiques, la FTC a également fourni un lien vers la dernière mise à jour du progiciel Apache dans son annonce, ainsi que des conseils de la Cybersecurity and Infrastructure Security Agency sur la façon d'atténuer la vulnérabilité. Si cela vous intéresse, vous pouvez vérifier tout cela ici . Et si vous êtes une entreprise, corrigez-la déjà.