La presse, les pirates auteurs de virus, les éditeurs, les responsables sécurité… Shellshock, la faille bash, a fait réagir tout le monde, partout, en moins de 24 heures. Sauf, peut-être, les chasseurs de failles eux-mêmes.
La presse, tout d’abord, puisque 48 heures après les premières alertes, les journaux grand public (dont les quotidiens gratuits) se lancent dans des concours de superlatifs. Ce nouveau « bug du siècle » (du moins le bug du siècle du mois en cours), est-il oui ou non plus dangereux que Heartbleed ? Est-ce la fin de l’ère Internet ? Le monde Apple est-il devenu moins sûr ? S’il est intéressant de constater que les quotidiens prêtent une attention grandissante à la sécurité informatique (une bonne chose compte tenu de l’informatisation croissante des ménages) l’on peut regretter que la seule manière d’aborder la question se fasse sur le mode « DON’T PANIIIIIIIIC !!!! »
Les auteurs d’exploits n’ont pas traînés non plus. La première preuve d’exploitation dans la nature a été détectée quelques heures à peine après la révélation publique de la faille. Les exploitations les plus probables, ainsi l’explique Jen Ellis de Rapid7, sont celles qui visent une application Web dont le CGI fait appel à bash.
En d’autres termes, la faille bash est intrinsèquement moins importante que la mauvaise pratique qui consiste à permettre à un processus externe (lié à Internet de surcroît) de pouvoir passer directement des paramètres au shell. Et c’est peut-être ce point que n’ont pas détecté les chasseurs de faille. Car des « trous vieux de 25 ans », il y en a probablement encore beaucoup dans le noyau Unix. Mais des trous accessibles aussi facilement par le biais d’une cohabitation vénéneuse, il n’en existe heureusement pas tant que ça. Reste que bien des auteurs de malwares se sont lancés, dans l’urgence, dans un scan massif d’Internet rapporte l’Australien IT News. Probablement histoire de répertorier les points de faiblesse qui pourront s’avérer exploitables dans un proche avenir. Signalons également ce « gentil » Poc signé TrustedSec qui utilise DHCP pour mieux converser avec le shell Bourne.
Les éditeurs de noyaux eux aussi ont immédiatement réagi, mais préviennent que le premier correctif n’est pas parfait (il porte d’ailleurs lui-même un numéro CVE-2014-7169 ). Red Hat, Apple, Ubuntu, Debian et tant d’autres ont immédiatement « poussé » une nouvelle version du shell.
Mais les systèmes d’exploitation pour serveurs ou ordinateurs personnels ne sont qu’une facette du problème. Des centaines de milliers d’appareils connectés (du routeur Wifi aux boîtiers multimédia en passant par ces mille et un « appliances » à base de Linux embarqué, seront vulnérables ad vitam aeternam. Soit par le truchement de l’attaque CGI via leur interface Web d’administration (si celle-ci est accessible à distance) soit, plus simplement, parce que l’appareil est ouvert aux quatre vents « by design », avec un port ssh ouvert associé à un mot de passe par défaut. Cela s’est souvent vu, particulièrement sur certains équipements « rootés ». Si ces objets de l’Internet ne contiennent pas nécessairement de grandes richesses en termes de contenu, ils peuvent toujours venir grossir les rangs d’un botnet.