Shellshock : "500 millions de serveurs web seraient vulnérables à cette faille"

Une faille informatique dans un programme d'interface système très répandu a été repérée le 24 septembre. Elle existait depuis 22 ans. Interview avec Loïc Guézo, expert en cybersécurité.
"Les objets connectés risquent également d'être concernés puisque c'est le cœur du système qui y est embarqué."

L'Internet mondial est en alerte. Une nouvelle faille dans la sécurité informatique, dénommée faille Bash ou Shellshock a été repérée le 24 septembre par l'ingénieur français Stéphane Chazelas et permet, en outre, de prendre le contrôle d'un système opérationnel via le programme de gestion par commande Bash (pour Bourne-Again shell,  l'équivalent du MS-DOS de Windows pour Unix/Linux/Mac OS).

Expert en cybersécurité et directeur développement Europe du Sud chez le développeur de logiciels de sécurité informatique Trend Micro, Loïc Guézo, a accepté de répondre aux questions de La Tribune.

La Tribune : Qui est concerné par la faille Shellshock ?

Loïc Guézo : Le programme de gestion par ligne de commande Bash est un des plus anciens¹ et des plus répandus. Il était installé comme shell (interface système) par défaut de la licence libre Linux et existe sur tous les systèmes depuis cette période, c'est ce qui fait sa force. Mais tous les utilisateurs de Bash ne sont pas vulnérables à la faille. Le contexte d'utilisation de la vulnérabilité limite l'utilisation et l'impact de la faille.

On sait déjà que plusieurs fonctions essentielles de l'Internet sous traitent des requêtes via des scripts sur du Bash. D'après les chiffres dont nous disposons sur la popularité des serveurs Unix, 500 millions de serveurs web seraient à vulnérables pour la faille (un peu plus de 50% du total).

      | Lire Internet a dépassé le milliard de sites

Les objets connectés risquent également d'être concernés puisque c'est le cœur du système qui y est embarqué. La question de la mise à jour de ces objets risque d'être problématique.

Justement, comment corriger la faille ?

Il faut d'abord que l'éditeur du système d'exploitation fasse une mise à jour (MàJ) pour implanter le patch correctif, que les entreprises doivent ensuite se procurer. Elles doivent ensuite planifier cette MàJ et installer le simple. Mais ce n'est pas aussi simple que de le dire car il faut attendre des fenêtres de maintenance afin de pouvoir effectuer ces changements. Des sites de livraison qui prennent des commandes 24h/24 (comme Spartoo, Amazon, Auchan, etc...) n'ont pas beaucoup de créneaux et c'est une vraie problématique de production informatique.

D'autant plus qu'il faut analyser l'impact de la mise à jour, qui comporte des risques d'effets de bord. Il n'y a pas de cartographie de Bash, qui est utilisé dans nombre d'endroits. C'est une sorte de pièce mécanique, un peu comme les boulons dans une voiture qu'il faudrait tous changer d'un coup.

Comment un hackeur peut-il exploiter la faille ?

Des entreprises ont commencé à signaler des scans de recherche de vulnérabilité sur leurs infrastructures, cela peut aussi bien être des chercheurs ou des audits que des débuts d'attaques. Nous avons d'ailleurs constaté ce matin l'existence d'un nouveau malware utilisant cette vulnérabilité, "Bash Lite". Celui-ci contamine le serveur et reste à disposition d'un botnet (un réseau de programmes connectés) pour utiliser le serveur comme vecteur d'attaque type "DDos" (attaque par déni de service).

Demain on peut avoir des attaques qui vont exploiter ce bug pour utiliser les serveurs en tant que relais et servir de points d'entrées vers d'autres machines à l'intérieur de l'infrastructure du serveur. Dans le cas des banques, cela peut également servir à espionner, notamment les paiements par carte.

Certains médias spécialisés ont comparé Shellshock avec la faille Heartbleed, qui affecte le logiciel OpenSSL, utilisé pour protéger mots de passe et données confidentielles. Est-ce justifié ?

Les deux failles se ressemblent dans le sens où elles touchent des systèmes que l'on pensait stables et sans vulnérabilités, créant ainsi le buzz auprès de l'industrie informatique. Là où c'est différent, c'est que Heartbleed a particulièrement choqué le grand publique avec la possibilité de récupérer des données secrètes d'identification.

        | Lire Heartbleed, la faille qui a cassé le cadenas de l'Internet

Avec Heartbleed, on allait à la pêche, sans maîtriser ce qu'on pouvait récupérer. Ce n'est pas du tout le cas de Shellshock, qui est beaucoup plus technique et permet de cibler. Cette nouvelle faille a plus de potentiel, mais cela nécessite plus de maîtrise technique et d'enchaînement dans l'utilisation de technique. Les attaques risquent d'être plus grandes et plus complexes.

¹La faille est présente depuis vingt-deux ans exactement, comme l'explique Stéphane Chazelas sur un site de questions réponses dédié au système d'exploitation Unix.
²Apple a communiqué à ce sujet, estimant que "la majorité des utilisateurs du système d'exploitation Mac OS X ne courent pas de risques".

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.