A moins d’avoir passé les 15 derniers jours dans la caverne de Platon, l’homme du siècle s’est ému au rythme des annonces concernant le bug bash Shellshock. Le dernier soubresaut était celui d’Apple qui vient d’annoncer, sans la moindre précision aucune (histoire de préserver la tradition) la publication des correctifs pour Maverick, Mountain Lion et Lion.
Mais, pour un utilisateur Apple non technicien, le laconisme du bulletin d’alerte ne confirme en rien le colmatage de l’intégralité des trous Shellshock et défauts secondaires liés. Car, toujours durant ces 15 derniers jours, les tortureurs de code (tels que Michal Zalewski, Tavis Ormandy ou Florian Weimer) se sont lancés dans une quête du Graal visant à débusquer le moindre défaut. Du coup, le nombre de CVEs déclarés a subit une rapide inflation. Shellshock désigne désormais CVE-2014-6271 (l’originel), CVE-2014-7169 (l’imparfait du patch), CVE-2014-7186, CVE-2014-7187, CVE-2014-6277 et CVE-2014-6278 (les derniers découverts). Un trou, six alertes, chacune ne représentant pas le même indice de dangerosité, loin s’en faut.
Fort heureusement, Michal Zalewski s’est lancé dans une revue de détails de tous ces trous officiels. Johannes Ullrich, du Sans, est allé jusqu’à monter une petite séquence vidéo d’explication, avec un support « papier virtuel » disponible sous forme de fichier pdf ou de podcast . Les explications sont claires, relativement techniques, but in english. Ceux pour qui ce genre d’intervention fait grincer des Molières* peuvent se reporter sur la baladodiffusion en Français, réalisée par No Limit Secu, avec la participation de Nicolas Ruff, Nicolas Prigent, Jean-François Audenard et Johanne Ulloa.
Ces explications demeureront totalement cryptiques pour la majorité des êtres humains normalement constitués, lesquels se poseront encore et toujours la question « Ais-je bien appliqué la bonne rustine, le problème bash est-il résolu ? ». Chaque jour qui passe fait de Shellshock un proche-parent des séries B américaines, qui plonge le lecteur dans les affres du plus pénible des suspens et lui fait attendre avec impatience la parution du prochain épisode.
*NdlC Note de la Correctrice. Tiens, j’ai crû voir passer Boby Lapointe. Ca faisait longtemps