Appelé « Shellshock » ou « Bash bug », ce bug est présent dans une composante logicielle appelée Bash qui se trouve habituellement sur les ordinateurs qui fonctionnent sur les systèmes d’exploitation Linux ou Unix, dont il existe de nombreuses variantes. En règle générale, ce type de système d’exploitation est utilisé pour décupler la puissance des serveurs, comme ceux sur lesquels s’exécutent de nombreux sites Web. Tous les ordinateurs Mac d’Apple qui fonctionnent sous le système d’exploitation OSX d’Apple sont également impactés. Les ordinateurs Windows de Microsoft ne sont pas directement affectés par cette vulnérabilité, mais pourraient courir un risque si les serveurs Web étaient compromis.

Symantec considère cette vulnérabilité comme étant critique, vu la diffusion étendue de Bash sur les systèmes fonctionnant sous Linux et Unix, et notamment sur les serveurs web. Si cette vulnérabilité est exploitée, elle peut permettre à des cyber-attaquants de prendre le contrôle d’ordinateurs ciblés et de pénétrer un réseau, à travers une exécution de code malveillant à distance.

Les cibles identifiées

Symantec estime que les serveurs Web publics sur lesquels aucun correctif n’a encore été installé sont la première cible de cette vulnérabilité.

Par ailleurs, un ordinateur qui fonctionne sous Mac OSX d’Apple, qu’il s’agisse d’un serveur, d’un ordinateur personnel ou d’un ordinateur portable, est également vulnérable et peut subir une attaque si aucun correctif n’a encore été installé.

Ce bug n’affecte toutefois pas les ordinateurs qui fonctionnent sous Windows de Microsoft. En effet, ils n’exécutent pas Bash. Les objets connectés et autres terminaux intégrés peuvent être vulnérables s’ils utilisent Bash. Cependant, les plus récents d’entre eux utilisent un autre logiciel, BusyBox, qui offre une alternative à Bash et ne sont pas concernés.

Enfin, un grand nombre de routeurs et d’autres types de périphériques connectés à Internet exécutent une variante de Linux ou Unix, et sont potentiellement concernés, à l’exception de ceux qui utilisent également BusyBox.

Bonne nouvelle (?) : encore peu d’attaques (pour le moment)

Il semble qu’il n’y ait eu que peu d’attaques perpétrées en utilisant cette faille. Des scripts « POC » (proof-of-concepts) ont été développés par des chercheurs en sécurité. Suite à la médiatisation de la faille, les cybercriminels ont cependant tenté de détecter et d’attaquer les ordinateurs non-patchés.

Comment cette vulnérabilité peut-elle être exploitée ?

Certaines circonstances doivent être réunies pour que ce bug soit utilisé pour une attaque à distance. Le cybercriminel doit en effet forcer une application à envoyer un code malveillant vers Bash. Ce sont les serveurs web qui utilisent l’interface CGI, le système le plus largement utilisé pour créer des pages web dynamiques, qui sont la voie la plus probable pour perpétrer une telle attaque. Parce que le serveur utilise Bash pour interpréter la commande, il exécutera également le code malveillant qui y a été associé.

Comment s’en prémunir ?

Les entreprises, et notamment les propriétaires de site Internet, courent le plus grand risque et doivent être clairement conscient que l’exploitation de cette vulnérabilité peut donner accès à leurs données et permettre aux cybercriminels de pénétrer leurs réseaux. Il est indispensable qu’ils appliquent au plus vite les corrections disponibles. Symantec a par ailleurs créé une signature de prévention d’intrusion contre cette vulnérabilité précise, disponible ici.

Les particuliers doivent également prendre l’affaire au sérieux. Il convient de surveiller l’ensemble des comptes Internet qui conservent des informations personnelles et d’être attentif à toute modification inhabituelle, signe d’une compromission. Par ailleurs, il est nécessaire de changer les mots de passe importants (messageries, réseaux sociaux) et être attentif au phishing, enjoignant notamment de télécharger tel ou tel nouveau logiciel. Enfin, il faudra appliquer les correctifs disponibles sur les routeurs ou sur chacun des périphériques capables de se connecter à Internet.

Les utilisateurs Mac surveilleront les mises à jour proposées par Apple et devront les appliquer au plus vite. Les solutions de sécurité Norton pour Mac, notamment le tout dernier Norton Security, solution de sécurité cross-plateforme, incluent une protection contre l’utilisation de ce type de vulnérabilité.