Comme souvent dans ces cas-là, on oscille entre alarmisme et réaction blasée. Pour le site spécialisé Cnet par exemple, ça ne fait aucun doute: la nouvelle faille qui vient d'être repérée, intitulé «Shellshock», est «plus grosse qu'Heartbleed». Quand d'autres observateurs se montrent autrement plus réservés.
«Il est très difficile d'en évaluer l'ampleur, confirme le spécialiste réseau Stéphane Bortzmeyer par téléphone. Ce qui est sûr, c'est qu'il y a une faille.»
Rendue publique ce 24 septembre par un ingénieur français, Stéphane Chazelas, cette vulnérabilité n'est pas nouvelle: elle existe en réalité depuis... vingt-deux ans! Et affecte un programme intitulé Bash, conçu et installé «à un moment où la notion de serveurs Internet était très éloigné», se rappelle Stéphane Bortzmeyer.
1.C'est quoi Bash? Et pourquoi on parle de «bug Shellshock»Entrez dans la matrice
Bash, c'est le «le bouzin dans lequel on tape des commandes compliquées qu'on voit dans les films avec des hackers», nous explique sur Twitter Heat Miser, un spécialiste de la sécurité informatique. «LE truc, ajoute Ls01, qui te fait ressembler à un/une geek aux yeux de tes parents et de ton/ta petit(e) ami(e).»
Mais ça ne sert pas «qu'à frimer façon Matrix», poursuit Stéphane Bortzmeyer. C'est ce qu'on appelle un «shell», un logiciel qui permet à l'utilisateur d'accéder aux fonctions du système d'exploitation. Il est notamment le shell par défaut d'Unix, sur lequel se basent Linux mais aussi, sans que les non-spécialistes le sachent vraiment, les OS d'Apple. Les produits de la marque sont donc vulnérables. Sans compter qu'Apple n'a toujours pas proposé de mise à jour pour corriger cette faille, note au passage Stéphane Bortzmeyer.
En tant que shell, Bash expose donc de nombreuses applications qui font appel à lui pour exécuter certaines tâches. Comme le note un conseil en sécurité de Red Hat, qui édite des logiciels open source, cité par ArsTechnica:
«Ce problème est particulièrement dangereux vu qu'il y a plusieurs manières selon lesquelles Bash peut être sollicité par une application.»
Par exemple, complète Stéphane Bortzmeyer, il peut être appelé indirectement lorsqu'on se trouve sur un site Internet. Sans que l'internaute ne le sache. Ni, plus grave, le développeur même du site.
2.Ok, ça permet quoi ce bug?Prendre les commandes
A priori, cette vulnérabilité dans Bash permet de modifier du contenu en «exécutant un code malicieux», pour reprendre les termes de Cnet. Mais là encore, difficile d'évaluer les possibilités dans le détail. A priori, avoir accès au Bash d'une machine comme un serveur donne tous les droits: accéder aux données, lancer et arrêter des choses...
À LIRE AUSSIUne possibilité qui paraît infinie, notamment comparée au bug Heartbleed, auquel la presse spécialisée compare le «Shellshock». Pour rappel, ce bug permettait «d'accéder à une partie des informations stockées sur un grand nombre de serveurs des services sur Internet», pour citer l'article écrit sur Slate à l'époque. Mais la pêche restait circonscrite:
«[...] l'exploitation de ce bug permet non pas de siphonner toute la mémoire des serveurs d'un site, mais seulement “un bout” (64KB seulement, l'équivalent d'un petit fichier texte, d'une image...) [...]. De plus, l'individu qui profiterait de la faille ne peut a priori pas contrôler ce qu'il va pêcher.»
Pas de panique pour autant: la portée réelle du «Shellshock», pour être appréciée, se doit d'être replacée en contexte. Ainsi, combien de machines sont concernées? Et surtout, combien de développeurs savent que leurs machines sont concernées? En déterminant cela, on pourra alors dire, comme le note ArsTechnica, que si «la vulnérabilité pourrait être de même ampleur que le bug Heartbleed, elle pourrait ne pas être aussi dangereuse».
Reste à le déterminer. Et là, c'est beaucoup plus compliqué.
3.Qui est visé? J'ai entendu qu'il y avait aussi les objets connectés?Tout dépend de la taille
Selon Cnet, le bug pourrait concerner «des entreprises majeures du numérique, des hébergeurs web de taille moyenne, et même des appareils connectés à Internet».
Rassurez-vous néanmoins si vous êtes adepte de la fourchette ou de la brosse à dents connectées, elles ne devraient pas être touchées selon Stéphane Bortzmeyer:
«A priori, les objets connectés peuvent être concernés. Mais dans les faits, leurs ressources sont probablement trop limitées pour pouvoir installer Bash, trop lourd.»
Ces objets s'adossent donc certainement à des logiciels similaires qui ont l'avantage d'être plus légers et aussi, donc, non exposés à cette faille.
En ce qui concerne les autres équipements exposés, là encore, difficile de savoir. A Slate, les développeurs font valoir que la méthode, qui consiste à adosser un site ou une application à Bash, est datée.
«C'est vrai, concède Stéphane Bortzmeyer, mais parfois les développeurs peuvent faire appel à une fonction sans se rendre compte qu'elle fait appel au shell.»
De même, l'ingénieur insiste sur le fait que les sites Internet, en étant remaniés de nombreuses fois, ont une histoire. Une relique faisant appel à Bash, et exposant donc à cette faille, peut toujours exister.
Et c'est là le vrai problème: si les personnes susceptibles de réparer cette faille ignorent jusqu'à sa présence même, comment s'assurer que les sites et appareils exposés recevront les mises à jour nécessaires? Tout comme pour le bug d'Heartbleed, qui concernait un nombre impressionnants de sites Internet, des plus gros (Google, Yahoo...) aux plus modestes, la difficulté tient ici à une méconnaissance du sujet, qui empêche de règler le problème.
Comme souvent en la matière, il faudra attendre pour mesurer les répercussions de cette faille. Certains sont néanmoins déjà attelés à scanner le web pour la repérer, nous indique Stéphane Bortzmeyer:
«J'ai déjà vu sur mon serveur que des personnes essayaient de voir s'il est exposé [à cette faille], pour l'exploiter.»
