Elle fait le buzz, cette faille dans le programme Bash, un langage et un interpréteur en ligne de commande très répandus dans les environnements Linux, Unix et Mac OS, et qui pourraient ouvrir l'accès à plus de 500.000 serveurs dans le monde. Mais alors pourquoi rien n'a été fait pour la corriger depuis tant d'années ?
Pas un éditeur de solution de sécurité, pas un média IT qui n'évoque aujourd'hui ShellShock, également appelé Bash Bug, une faille dans le shell Bash. Le problème est que même si elle ne serait pas encore réellement exploitée – sauf que nous n'en savons rien ! -, un tel battage médiatique a attiré tous les hackers du monde, qui savent désormais qu'une faille dans les environnements Linux, BSD, Unix et Mac OS, ainsi qu'indirectement dans les objets connectés, n'attend qu'à être exploitée.
Au cœur de l'interface avec l'utilisateur
Bash est à la fois un langage de programmation et une interface de dialogue (shell) entre un ordinateur et son utilisateur. L'outil est une couche logicielle de dialogue très répandue sur les serveurs qui exploitent les OS (système d'exploitation) que nous avons évoqués plus haut. Ce qui concrètement signifie que si un hacker mafieux venait à l'exploiter, c'est à dire à placer un code malveillant dans le shell, il disposerait d'un accès à un énorme volume de serveurs. Et cela malgré la présence du parefeu et de l'antivirus.
Une faille ? Non, un séisme !
Là où la faille se révèle très dangereuse - au point que ShellShock est considérée comme l'équivalent de Heartbleed, qui avait défrayé la chronique voici quelques mois - c'est qu'en plus d'être connue depuis longtemps, elle permet d'exécuter du code à distance, placé dans le shell lors de l'exécution d'un code additionnel nécessaire à une application qui s'appuie sur le shell, après une attaque réalisée via le réseau. A l'exécution d'un programme Bash, si celui-ci récupère une variable définie par l'utilisateur (via le Web, SNMP ou SSH), la faille permet le chargement de fonctions, de variables d'environnement, et l'injection de commandes.
Autre difficulté, Bash étant au coeur de nombreux environnements, appliquer un patch qui corrige la faille augmente la durée d'exposition en imposant de procéder à de longs tests de non-régression. Les infrastructures informatiques affichent donc une faiblesse critique.
De qui se moque-t-on ?
Visent-ils a créer une nouvelle couche de paranoïa ? Les éditeurs de sécurité se font dithyrambiques lorsqu'ils évoquent ShellShock. Ce qui revient le plus dans leur discours c'est que la menace pourrait être à l'origine d'un véritable séisme. Mais là où l'on se dit que quelque part on se moque de nous, c'est lorsqu'ils affirment que la faille est connue... depuis plus de 20 ans ! Alors pourquoi rien n'a été fait pour la corriger ?