Mise en garde contre une faille de sécurité sur Linux et Mac OS X

Les Etats-Unis ont mis en garde contre une faille de sécurité "majeure" sur les systèmes d'exploitation Linux et Mac OS X.

25 sept. 2014, 20:03
Le département américain de la sécurité intérieure a dévoilé dans un communiqué que cette faille concerne le "Bourne again shell (Bash)".

Près de six mois après Heartbleed, les Etats-Unis ont mis en garde jeudi contre une nouvelle faille de sécurité, concernant cette fois les systèmes d'exploitation Linux GNU et Mac OS X d'Apple, jugée "majeure" par plusieurs experts.

Le département américain de la sécurité intérieure a dévoilé dans un communiqué que cette faille concerne le "Bourne again shell (Bash)", un logiciel libre qui permet de lancer des commandes dans une fenêtre de console.

C'est aussi un interpréteur de commandes qui fournit un langage de programmation pouvant être utilisé pour développer des programmes. Il est l'interface utilisateur entre le système Linux ou Mac OS X et l'utilisateur.

Cette faille peut être exploitée par un pirate informatique, a prévenu le Bureau en charge de la sécurité informatique au sein du département.

L'interpréteur de commandes permet en effet d'appeler des commandes et des programmes. Il fournit également un langage de programmation pour automatiser des taches.

"Cette faille existe environ depuis une vingtaine d'années", mais personne ne s'en était aperçu, selon Paul-Henri Huckel, responsable en veille en vulnérabilités du cabinet français de conseil en sécurité informatique Lexsi.

"Nous considérons qu'elle est potentiellement plus sérieuse et dangereuse qu'Heartbleed, puisque Bash est installé par défaut sur tous les OS Unix et Mac", a-t-il indiqué à l'AFP.

"Le risque pour les entreprises c'est que quelqu'un prenne la main en tant qu'administrateur d'un de leurs serveurs vulnérables ouvert sur internet et finisse par contrôler complètement leur système d'information, avec toutes les ramifications qu'on peut imaginer".

Révélée en avril, Heartbleed ("coeur qui saigne") était une sérieuse faille de sécurité découverte sur un logiciel largement utilisé pour les connexions sécurisées, menaçant mots de passe et données bancaires.

L'internet des objets, qui utilise des scripts Bash, est particulièrement vulnérable à Shellshock ("commotion cérébrale"), et de manière générale le nombre de systèmes à corriger avec un patch apparaît plus important que dans le cas d'Heartbleed.

Paul-Henri Huckel souligne toutefois qu'il "pourrait être plus facile a posteriori de savoir si la faille a été utilisée" que dans le cas de Heartbleed car "les pirates éventuels auront laissé des traces dans les fichiers".

La société de logiciels open-source Red Hat a également souligné la portée du problème car "il est habituel pour beaucoup de programmes de faire fonctionner Bash en arrière plan", et qu'il est souvent utilisé pour intéragir avec un utilisateur distant.

Les attaques informatiques se sont multipliées ces dernières semaines contre les groupes américains. La chaîne américaine de magasins de bricolage Home Depot a par exemple indiqué la semaine dernière que la sécurité de 56 millions de cartes bancaires avait été compromise lors de la cyberattaque dont elle a été victime entre avril et septembre.