"Shellshock", la nouvelle faille de sécurité qui menace internet

Noms de baptême : "Shellshock" (commotion cérébrale) et "Bash bug". Les Etats-Unis ont mis en garde les internautes, jeudi 25 septembre, contre une faille de sécurité concernant les systèmes d'exploitation Linux GNU et Mac OS X d'Apple. "Cette faille existe environ depuis une vingtaine d'années" mais personne ne s'en était aperçu, selon Paul-Henri Huckel, expert du cabinet de conseil en sécurité informatique Lexsi.

Qui est concerné ?

Cette faille concerne le "Bourne again shell" (Bash), un logiciel libre bien connu des programmeurs, qui permet de lancer des commandes dans une fenêtre de console. Bash fait office d'interface entre les systèmes Linux et Mac OS X et l'utilisateur. Les systèmes d'exploitation Windows ne sont donc pas concernés.

La liste des victimes potentielles est impressionannte : les ordinateurs des particuliers, mais aussi des millions de serveurs web et des systèmes utilisés par des gouvernements ou des hôpitaux. Les objets connectés (caméras, serrures électroniques, ampoules intelligentes...), qui utilisent des scripts Bash, sont aussi vulnérables.

Quels sont les dangers ?

Cette faille peut être exploitée par un pirate informatique pour récupérer des données personnelles, voire diffuser des virus. L'interpréteur de commandes permet, en effet, d'appeler des commandes et des programmes. "La grande majorité des utilisateurs de l'OS X ne sont pas en danger", a assuré, jeudi soir, un porte-parole d'Apple, indiquant que seuls les utilisateurs ayant configuré le système d'exploitation Unix en niveau "avancé" sont concernés.

De nombreux observateurs reconnaissent que la gravité de la situation est difficile à estimer et donne lieu à beaucoup de spéculations. "Le risque pour les entreprises, c'est que quelqu'un prenne la main en tant qu'administrateur d'un de leurs serveurs vulnérables ouvert sur internet, et finisse par contrôler complètement leur système d'information, avec toutes les ramifications qu'on peut imaginer", estime Paul-Henri Huckel.

Des milliers de serveurs ont déjà été touchés via "Shellshock", rapporte la BBC (en anglais), qui redoute une hausse sensible de ce chiffre, au fur et à mesure que le code informatique pour exploiter la faille sera partagé. Le gouvernement britannique a émis une alerte maximale concernant cette faille. 

Comment peut-on se protéger ?

Des sociétés spécialisées dans la sécurité ont déjà commencé à développer des "patchs" pour protéger les systèmes vulnérables, selon le site 01net. De premières mises à jour de sécurité sont déjà sorties mais doivent être complétées par des versions plus précises.

"Si un serveur est attaqué, il n'y a pas grand chose à faire pour les personnes lamba, hormis recourir à des gestionnaires de mots de passe pour avoir différents mots de passe sur les différents services web", indique Eric Neufeld, responsable technique de l'entreprise canadienne 365 iT Solutions, cité par le site CTV News (en anglais). "Ainsi, si un site que vous fréquentez est attaqué, cela limite votre vulnérabilité" sur les autres sites, ajoute-t-il.