Mise en garde contre une faille de sécurité sur Linux et Mac OS X
Près de six mois après Heartbleed, les États-Unis ont mis en garde jeudi contre une nouvelle faille de sécurité, concernant cette fois les systèmes d'exploitation Linux GNU et Mac OS X d'Apple, considérée comme "majeure" par plusieurs experts.
Le ministère américain de la Sécurité intérieure a indiqué dans un communiqué que la faille concerne le "Bourne again shell (Bash)", un logiciel libre qui permet d'exécuter des commandes dans une fenêtre de console.
Il s'agit également d'un interpréteur de commandes qui fournit un langage de programmation pouvant être utilisé pour développer des programmes. Il constitue l'interface utilisateur entre le système Linux ou Mac OS X et l'utilisateur.
Cette faille peut être exploitée par un hacker, a prévenu le Bureau en charge de la sécurité informatique au sein du département.
L'interpréteur de commandes permet d'appeler des commandes et des programmes. Il fournit également un langage de programmation pour automatiser des tâches.
"Cette faille existe depuis une vingtaine d'années", mais personne ne l'a remarquée, selon Paul-Henri Huckel, responsable du suivi des vulnérabilités au sein de la société française de conseil en sécurité informatique Lexsi.
"Nous considérons qu'elle est potentiellement plus grave et dangereuse que Heartbleed, car Bash est installé par défaut sur tous les Unix et Mac OS", a-t-il déclaré à l'AFP.
"Le risque pour les entreprises est que quelqu'un prenne la place d'administrateur d'un de leurs serveurs vulnérables ouverts sur Internet et finisse par contrôler complètement leur système d'information, avec toutes les ramifications que l'on peut imaginer."
Révélée en avril, Heartbleed était une grave faille de sécurité découverte dans un logiciel largement utilisé pour les connexions sécurisées, menaçant les mots de passe et les données bancaires.
L'Internet des objets, qui utilise des scripts Bash, est particulièrement vulnérable à Shellshock ("commotion"), et en général, le nombre de systèmes à patcher semble plus important que dans le cas de Heartbleed.
Paul-Henri Huckel souligne toutefois qu'"il pourrait être plus facile a posteriori de savoir si la faille a été utilisée" que dans le cas de Heartbleed car "les éventuels pirates auront laissé des traces dans les fichiers".
L'éditeur de logiciels libres Red Hat a également souligné l'ampleur du problème car "il est courant que de nombreux programmes exécutent Bash en arrière-plan", et il est souvent utilisé pour interagir avec un utilisateur distant.
Les attaques informatiques se sont multipliées ces dernières semaines contre des groupes américains. Par exemple, la chaîne américaine de magasins de bricolage Home Depot a indiqué la semaine dernière que la sécurité de 56 millions de cartes de crédit avait été compromise dans une cyberattaque dont elle a été victime entre avril et septembre.
bon a savoir :)