Le «Bash bug» est-il vraiment pire que Heartbleed?

Vous vous souvenez de Heartbleed, ce bug qui avait failli casser Internet en avril dernier? La faille avait pu être gardée secrète assez longtemps pour qu'une rustine soit appliquée sur la plupart des serveurs. Ce n'est pas le cas du «Bash bug», une sérieuse vulnérabilité qui touche les systèmes Unix, Linux et Mac OS X, avec des premières attaques déjà repérées. Mais pour le grand public, il n'y a pas grand chose à faire. A part respirer un coup.

C'est quoi le shell?

C'est cette fenêtre qui ressemble à MS-DOS, souvent avec du texte en vert sur fond noir à la Matrix. Bash, l'acronyme de Bourne-Again shell, est l'interpréteur de commandes que l'on trouve par défaut sur de nombreux systèmes Unix, Linux et Mac OS X. Il permet de donner des ordres à l'OS et d’interagir avec d'autres programmes.

En quoi consiste ce bug?

Heartbleed permettait d'accéder à la mémoire récente d'un serveur, en espérant intercepter des données utiles comme un mot de passe. Le «Bash bug», également connu sous son nom anxiogène «Shellshock» (traumatisme/commotion en VF), est différent. Avec une simple ligne de code qui ne nécessite pas de s'identifier, un hacker peut exécuter des commandes sur le serveur, écrit l'expert en sécurité de Microsoft, Troy Hunt. Comme «Télécharge et exécute ce virus qui va capturer les mots de passe».

Quels systèmes sont touchés?

Toutes les versions de Bash, jusqu'à la 4.3, sont concernées –soit toutes celles sorties depuis 25 ans. Cela englobe plusieurs centaines de millions de machines: plus de la moitié des serveurs Web (Apache), de nombreux systèmes gouvernementaux ou d'hôpitaux, et les particuliers sous Unix, Linux et Mac OS X. Ceux sous Windows peuvent, pour une fois, respirer. Google a précisé qu'Android n'était pas exposé. iOS, a priori, non plus.

Comment déterminer si son système est vulnérable?

Pour les geeks uniquement, en copiant/collant cette ligne dans le shell:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Le système est vulnérable si le résultat est: vulnerable / this is a test.

Si tout va bien, il affichera: bash: warning: x: ignoring function definition attempt / bash: error importing function definition for `x' / this is a test.

Et c'est grave?

L'agence gouvernementale US National Cyber Security Division donne un 10 sur 10 à la menace. Troy Hunt estime, comme d'autres experts, que le bug «est potentiellement plus grave que Heartbleed» car il faudra plus de temps pour patcher tous les systèmes compromis. Dans six mois ou un an, on entendra sans doute parler d'un hack géant, comme ceux de Target ou Home Depot, car un administrateur réseau n'aura pas pris les mesures adéquates.

Des patches en cours de déploiement

Red Hat a publié un patch «partiel» pour Bash. D'autres sont disponibles pour CentOs, Ubuntu et Debian. Du côté de Mac OS X, il faut encore patienter, mais le système a la capacité de se mettre à jour automatiquement.

La menace du ver

Par sa nature, le bug peut être exploité par un ver, un programme malfaisant capable de s'auto-répliquer et de sauter de machine en machine. Il n'a fallu que quelques heures pour voir le premier spécimen dans la nature. Il essaie notamment de mener des attaques en déni de service pour saturer un site Web ou de deviner des mots de passe système pour accéder à des données critiques.

L'Internet des objets menacé

Moniteur pour bébé, caméra de vidéosurveillance, ampoules intelligentes, serrures électroniques... De nombreux objets connectés utilisent une version embarquée de Linux/Bash et pourraient servir de porte d'entrée dérobée sur un réseau wifi domestique. Les mettre à jour est compliqué, et souvent impossible sans contacter le fabricant. Selon Troy Hunt, il faut «repenser la sécurité» de l'Internet des objets car les particuliers ne veulent pas devoir «recompiler leurs ampoules». Amen.