Shellshock : une faille qui fait trembler le monde Linux et Mac OS
La faille Shellshock permet de facilement prendre le contrôle total d’un système, une faille critique qui fait trembler le monde Linux et Mac OS.
C’est une équipe de Red Hat qui a découvert Shellshock, une vulnérabilité grave, qui se situe au niveau du Bash Shell, la couche logicielle qui donne accès au système d’exploitation Linux et Mac OS par l’entremise d’une interface en ligne de commande, un accès qui se fait simplement en ouvrant une fenêtre Terminal. Facile à exploiter et très répandue, cette faille permet de prendre le contrôle total d’un système.
Étant très pratique, le Bash est utilisé par un nombre incalculable de logiciels, notamment au niveau des serveurs web. Malheureusement, la faille découverte met en évidence qu’il est possible d’exécuter n’importe quel code au travers de cette couche logicielle, ce qui signifie qu’un hacker qui arriverait l’exploiter pourrait prendre totalement la main sur le système.
Concrètement, cette faille se situe au niveau du langage de commande lui-même. Comme le démontre l’exemple suivant, le problème est qu’il est possible de définir des variables, mais aussi d’insérer des commandes !
$ env x='() { :;}; echo vulnerable’ bash -c « echo this is a test »
Cette ligne de commande définit une variable x et insère justement la commande « echo vulnerable ». Si le message « vulnerable » s’affiche, c’est que votre système est vulnérable à Shellshock
Pratiquement, une personne malveillante pourrait par exemple insérer du code dans les entêtes « user agent », une technique employée par Robert Graham, un chercheur en sécurité, pour déterminer que des dizaines de milliers de sites sont vulnérables à Shellshock. L’urgence est d’autant plus de mise qu’un ou plusieurs pirates auraient déjà appliqué la même méthode dans un malware !
Si Red Hat, Debian et CentOS ont d’ores et déjà publié des patchs correctifs bloquant l’exécution de commandes intégrées dans des variables, il n’en demeure pas moins que de nombreux systèmes embarqués fonctionnant sous Linux ne peuvent pas être mis à jour aussi facilement que cela.
De fait, Shellshock pourrait être une faille d’ampleur mondiale, une vulnérabilité encore problématique que Heartbleed qui avait touché Open SSL.