Shellshock : patcher n’est qu’un premier pas…
Une semaine après sa découverte, la vulnérabilité de Bash n’en finit pas de menacer l’informatique tant personnelle que d’entreprise, et dans de très nombreux domaines.
Une semaine après sa découverte, la vulnérabilité de Bash – ou plutôt, les vulnérabilités –, dite Shellshock n’en finit pas de menacer l’informatique tant personnelle que d’entreprise, et dans de très nombreux domaines. L’industrie de traitement des paiements par carte bancaire s’inquiète ainsi, relevant l’ampleur de la dépendance à l’interpréteur, et encourageant à l’application rapide des correctifs. Et ceux-ci ne cessent d’apparaître. VMware vient ainsi de proposer des rustines pour 37 appliances virtuelles. Apple aussi y est allé du sien pour OS X, quoiqu’incomplet en l’état.
Alors, certes, des correctifs sont disponibles – et souvent déjà déployés. Des règles de protection des infrastructures contre les exploitations de la vulnérabilité sont également disponibles. Mais les codes d’exploitation se multiplient. Récemment, celui dédié aux serveurs OpenVPN, dans une certaine configuration, a été rendu public.
Surtout, si l’application de ces correctifs s’avère indispensable, elle n’en est pas suffisante pour autant. Comme beaucoup en sont conscients, le risque est grand que des systèmes aient déjà été infectés par des logiciels malveillants grâce à l’exploitation de la vulnérabilité de Bash. Et ceux-ci méritent donc une attention toute particulière au risque de se transformer en agents dormants au profit de cybercriminels.
Le sujet apparaît d’autant plus important que, comme le relève Cesar Cerrudo, CTO d’IOActive Labs, « il est trop tôt pour établir une liste complète des équipements affectés nécessitant une mise à jour. Et même si les chercheurs publient les détails des équipements vulnérables ou non, dans le cas de certains appareils en utilisation, personne ne vérifiera parce qu’ils ne sont plus supportés ou qu’il manque la documentation. »
Bref, Shellshock apparaît moins comme un « petit écho radar » que comme « un énorme écho alertant » sur une menace majeure à venir, estime Richard Stallman. Et Robert Graham d’Errata Security acquiesce bien volontiers, soulignant sur son blog la vétusté du code de Bash.