Une vulnérabilité de sécurité de type « zero-day » (Log4j) de grande envergure a été découverte dans plusieurs logiciels, dont Minecraft !

Mojang a identifié une vulnérabilité sous la forme d’un exploit dans Log4j, une librairie Java conçue pour la journalisation d’activités. Cet exploit affecte de nombreux services, dont l’édition java de Minecraft.

Cette vulnérabilité pose un risque potentiel de compromission de votre ordinateur, et bien que cet exploit ait été corrigé avec toutes les versions du client du jeu, vous devez toujours prendre les mesures suivantes pour sécuriser votre launcher Minecraft et vos serveurs.

Que faire pour sécuriser Minecraft ?

Client officiel du jeu

Si vous jouez à Minecraft : Java Edition, mais que vous n’hébergez pas votre propre serveur Minecraft, vous devrez suivre les étapes suivantes pour vous prémunir de la faille log4j :

  1. Fermez toutes les instances du jeu
  2. Fermez votre launcher de Minecraft
  3. Redémarrez le launcher
  4. La version corrigée sera téléchargée automatiquement.

Clients modifiés et launcher tiers

Les clients modifiés (via Minecraft Forge ou Fabric par exemple) et les launcher tiers (comme le Badlion client) peuvent ne pas être mis à jour automatiquement. Dans ces cas, nous vous recommandons de suivre les conseils du fournisseur tiers. Si le fournisseur tiers n’a pas apporté de correctif à la vulnérabilité ou n’a pas déclaré que le jeu était sûr, vous devez partir du principe que la vulnérabilité n’est pas corrigée et que vous courrez un risque en jouant.

Serveur de jeu

Si vous hébergez votre propre serveur Minecraft : Java Edition, vous devrez prendre des mesures différentes en fonction de la version que vous utilisez, afin de le sécuriser :

  • 1.18 : Passez à la version 1.18.1 de Minecraft, si possible. Sinon, utilisez la même approche que pour la version 1.17.x
  • 1.17 : Ajoutez les arguments JVM suivants à votre ligne de commande de démarrage : -Dlog4j2.formatMsgNoLookups=true
  • 1.12-1.16.5 : Téléchargez ce fichier dans le répertoire de travail où tourne votre serveur. Ajoutez ensuite les arguments JVM suivants à votre ligne de commande de démarrage : -Dlog4j.configurationFile=log4j2_112-116.xml
  • 1.7-1.11.2 : Téléchargez ce fichier dans le répertoire de travail où s’exécute votre serveur. Ajoutez ensuite les arguments JVM suivants à votre ligne de commande de démarrage : -Dlog4j.configurationFile=log4j2_17-111.xml

Les versions inférieures à 1.7 ne sont pas concernées.

À long terme, il est à craindre que, si les personnes au courant de la situation atténuent cette faille potentiellement dangereuse, beaucoup d’autres, restées dans l’ombre, ne le feront pas et risquent de laisser la faille non corrigée pendant une longue période. Beaucoup craignent déjà que la vulnérabilité soit déjà exploitée

« En raison de la facilité d’exploitation et de l’étendue de l’applicabilité, nous soupçonnons les acteurs du ransomware de commencer à exploiter cette vulnérabilité immédiatement »

déclare la société de sécurité Randori dans un billet de blog sur la vulnérabilité.

Sources : Pcgamer et Minecraft.net – Image à la une : Into the Spiders Web par FiftyWalrus