À en croire des spécialistes de la sécurité internet, une nouvelle superfaille agite le monde de l’informatique. Un problème dont les répercussions seraient plus risquées que le bogue "Heartbleed".
Oubliez "Heartbleed" : une nouvelle faille du nom de "Shellshock" s’en prend actuellement aux systèmes d’exploitation Mac OS et Linux. À l’origine de cette découverte : une équipe de Red Hat. Ce bogue pas comme les autres serait en fait lié au "Bash Shell", à savoir une couche logicielle donnant accès aux systèmes d’exploitation Linus et Mac OS via une interface de commande. Un dispositif bien connu par les informaticiens. Sous l’un de ces systèmes, il suffit de lancer une fenêtre Terminal pour y avoir accès.
L’ennui, c’est que le Bash ne date pas d’hier et est appliqué par d’innombrables logiciels, pour sa praticité, notamment. Ainsi, nombreux sont les serveurs web à l’utiliser. En découle un problème : une telle faille rend possible l’exécution de tous les codes possibles via cette couche logicielle. De fait, un pirate parvenant à exploiter cette faille sera donc en mesure de prendre totalement le contrôle du système concerné.
Comment expliquer pareil problème ? Dans le détail, il faut savoir que l’exécution des commandes Bash s’appuie sur un langage de programmation mal pensé. Car si Bash est capable de définir des variables, il peut également interpréter des commandes, qui peuvent être insérées manuellement.
This 'bash' bug is probably a bigger deal than Heartbleed, btw.
— Robert Graham (@ErrataRob) 24 Septembre 2014
Comment savoir si son système est touché ?
Afin de savoir si votre système est concerné par cette faille, il suffit d’insérer le code suivant au niveau des en-têtes "user agent" d’un navigateur :
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Si votre système est touché, les lignes suivantes apparaîtront :
vulnerable
this is a test
À noter que les en-têtes évoquées plus haut sont transmises au serveur Web afin de renseigner le nom de l’application – comme Firefox, par exemple –, la version ou encore le système d’exploitation. C’est en utilisant cette astuce pour passer au crible le web que le chercheur en sécurité Robert Graham a identifié des dizaines de milliers de serveurs vulnérables.
Déjà un malware de lancé
Des pirates ont par ailleurs utilisé la même technique pour lancer un malware. Résultat, il serait urgent d’agir, sans compter que cette superfaille pourrait déboucher, selon Graham, sur la création de vers, à savoir des logiciels malveillants à même de se disséminer de façon automatique d’un système à l’autre.
Des correctifs publiés
À l’heure qu’il est, des patchs permettant d’empêcher l’exécution de commandes présentes dans des variables ont déjà été publiés pour une partie des systèmes Linux. Leurs noms : Debian, Red Hat et CentOS. Toutefois, il y a encore fort à faire, compte tenu du nombre important de variantes de Linux installées sur les systèmes. Pire : la totalité des systèmes touchés ne pourront être patchés. Pour Robert Graham, il est donc évident que la faille Shellshock va faire parler d’elle durant plusieurs années.
Sources : theregister, 01net, troyhunt