On se souvient tous des craintes qui avaient entouré la faille Heartbleed il y a quelques mois, certains y voyaient la plus grosse faille jamais découverte et capable de mettre le web à feu et à sang. La faille Shellshock est aux yeux de certains experts encore plus importante, car elle touche le programme Bash, permettant d’accéder aux fonctions du système d’exploitation.
Une faille critique très importante sur le programme Bash, baptisée Shellshock
Hier, un ingénieur français à mis en évidence la vulnérabilité Shellshock, une faille d’ampleur mondiale, qui serait présente dans un programme clé utilisé sur de nombreuses machines, intitulé Bash. Le chercheur Stephane Chazelas a démontré que cette faille de sécurité existe depuis, tenez-vous bien… depuis 25 ans ! Il est aujourd’hui très difficile d’en mesurer l’ampleur, car le programme Bash est un « Shell », un petit utilitaire permettant d’accéder aux fonctions du système d’exploitation.
Pour les novices, Bash c’est cet écran, sur lequel il est possible de réaliser des entrées, afin d’exécuter des tâches par des lignes de commandes. Un écran noir, avec des écritures vertes à la Matrix ! Ce programme est notamment très utilisé sous Unix, Linux et Mac OS X d’Apple, ce qui met d’office les produits tournant avec ces systèmes d’exploitation, en position de très grande vulnérabilité. Toutes les versions de Bash, jusqu’à la 4.3, sont concernées et cela impliquent des centaines de millions de machines, des sites gouvernementaux, des grandes entreprises, la moitié des serveurs web Apache de la planète, tous l’univers des objets connectés… Autrement dit : la faille Shellshock fait trembler du monde !
Shellshock : la plus grave menace du moment et des mois à venir…
De nombreuses applications font appel à Bash pour exécuter certaines tâches, la faille Shellshock est donc très dangereuse, car il existe un grand nombre de façons différentes d’appeler le programme Bash. Avoir un accès, à ce “shell” permet d’exécuter du code malicieux, d’accéder aux données, de lancer et d’arrêter des applications, etc. L’agence gouvernementale US National Cyber Security Division donne un 10 sur 10 à la menace et il faudra des mois, sans doute des années, pour que tous les systèmes soient un jour « patchés » contre la faille Shellshock.
