Publicité

Article

Pourquoi Shellshock Bash est encore plus effrayant que Heartbleed

Pourquoi Shellshock Bash est encore plus effrayant que Heartbleed
Pierre Vitré

Pierre Vitré

  • Mise à jour:

Oubliez Heartbleed et dites bonjour à Shellshock Bash: le nouveau bug qui inquiète le web et les internautes.

Bash n’est pas une faille récente. Elle existe depuis vingt-cinq ans mais sa découverte date de quelques semaines et a le potentiel pour hacker les ordinateurs, les téléphones, les tablettes, les sites web et bien plus encore.

Cette vulnérabilité se situe dans les lignes de commande qui fonctionnent en arrière-plan sur Mac OS X, Linux et de nombreux autres systèmes basés sur Uni. Ce bug permet notamment aux pirates d’exécuter des commandes à distance et de modifier du contenu sur des ordinateurs et des sites web.

Qu’est-ce que Bash et pourquoi tant de choses l’utilisent?

Sans être trop technique, Bash est fondamentalement un interprète pour les ordinateurs, permettant aux utilisateurs d’exécuter des commandes sur les systèmes Unix et Linux. Il est utilisé sur une variété de dispositifs car le logiciel est open source et constitue la norme pour les serveurs web dans l’industrie.

Image credit: Netcraft

Plus de la moitié des serveurs web du monde entier tourne sous Apache, une application de serveur Web responsable pour le protocole de transfert hypertexte (HTTP).

Comment Bash est-il exploité?

Bash permet aux hackers d’exécuter du code arbitraire sur les systèmes affectés sans aucune forme d’authentification. Ce type d’attaque est appelée “injection de code“.

Comme mentionné précédemment, de nombreux sites web s’exécutent sur des serveurs web qui sont vulnérables au bug Shellshock Bash. Cela signifie que ses sites web entiers pourraient théoriquement être hackés.

Pire encore, des milliers d’appareils supportent Bash, comme les appareils photo et les routeurs. Des outils domestiques comme les ampoules et les thermostats connectés pourraient aussi être affectés.

Heureusement, j’utilise Windows

Bien que le système d’exploitation Windows n’est pas directement touché par le problème, les périphériques que vous connectez à votre ordinateur peuvent utiliser Bash. Le routeur que vous utilisez pour connecter votre ordinateur Windows à Internet par exemple utilise certainement un système d’exploitation qui est vulnérable.

Est-ce aussi mauvais et dangereux que Heartbleed?

Le bug Shellshock Bash attire de nombreuses comparaisons avec la faille Heartbleed découverte il y a quelques mois. Et pour cause, car même si les vulnérabilités sont complètement différentes, les effets des deux attaques sont comparables.

Cependant, Heartbleed n’affectait que les sites et services web tandis que Shellshock Bash peut affecter les sites, les ordinateurs et de nombreux autres dispositifs.

Les hackers connaissent et utilisent évidemment déjà la faille. Nos confrères d’Ars Technica ont ainsi trouvé plus de 2 milliards de sites qui “correspondent au profil du bug Shellshock.”

Toutefois, on ignore dans quelle mesure les pirates vont profiter du bug. Ces derniers pourraient notamment créer des vers passant à travers les pare-feux et se multiplier sur un réseau sans que les utilisateurs ne s’en aperçoivent. Les pirates pourraient alors même espionner et voler vos données personnelles une fois votre machine compromise en utilisant le bug.

Que puis-je faire pour me protéger?

Si vous êtes un utilisateur Mac et que vous voulez savoir si vous êtes vulnérable, vous pouvez exécuter le script suivant dans l’application Terminal (situé dans le dossier Utilitaires).

$ env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’

Si la commande lit “vulnérable” et “hello”, alors votre machine est sensible au bug Shellshock. Apple travaille actuellement sur un correctif pour vous mettre à l’abri de ce dernier.

Pour la plupart des utilisateurs, la meilleure chose que vous pouvez faire maintenant est de vous assurer que vous utilisez la dernière version des logiciels sur TOUS vos appareils (y compris votre routeur).

Au-delà de garder vos appareils à jour, restez vigilant et faites également attention aux spams et autres emails qui vous proposeront un patch ou une solution miracle. Les serveurs et sites web corrigeront d’eux-mêmes la faille. Patience donc et prudence.

Sources: Red HatTroy Hunt

A lire:

Heartbleed c’est quoi? Les 5 étapes pour protéger ses comptes

Quels sont les principaux sites affectés par la faille Heartbleed?

Piratage: le vol de données en ligne en forte hausse aux États-Unis

Suivez-moi sur Twitter: @pierrevitre

Pierre Vitré

Pierre Vitré

Nouveautés de Pierre Vitré

Directives éditoriales