La Federal Trade Commission (FTC) émet un avertissement très clair: quiconque ne corrige pas Log4j, puis est la victime d’une fuite de données, peut être tenu juridiquement responsable de celle-ci.
Log4j est un outil open source intégré à diverses applications logicielles. Début décembre, on apprenait que cet outil pouvait être abusé et qu’il fallait donc le corriger dans les plus brefs délais.
Ce patch existe bel et bien, mais comme il s’agit d’un fragment de code qui est souvent intégré à de nombreuses applications, il est malaisé de savoir où se trouve Log4j. Hier, Microsoft prévenait qu’elle observait encore et toujours des attaques sur Log4j et que ce risque allait persister.
A présent, c’est la FTC qui invite à effectuer la correction d’urgence, en brandissant un argument massue. L’autorité prétend en effet que quiconque ne corrigera pas le bug bien connu, pourrait être tenu responsable en cas de fuite de données ou d’autres dommages.
‘La FTC exploitera l’ensemble de son éventail juridique pour prendre des mesures à l’encontre des entreprises qui ne prendront pas les mesures nécessaires pour protéger les données des consommateurs, afin qu’elles ne soient pas exposées à un abus de Log4j ou à des failles similaires bien connues’, indique l’organisation sur son site.
Et de faire référence à un précédent cas chez Equifax. La firme d’évaluation de la cote de crédit n’avait pas résolu une faille connue et fut ensuite victime d’un piratage. Il en résulta le vol d’informations financières de 147,7 millions de consommateurs. Equifax trouva un arrangement à cette affaire en 2019, dont coût 700 millions de dollars.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici