{"id":3718,"date":"2014-09-26T14:38:12","date_gmt":"2014-09-26T14:38:12","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=3718"},"modified":"2020-02-26T15:49:45","modified_gmt":"2020-02-26T15:49:45","slug":"vulnerabilite-bash","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/vulnerabilite-bash\/3718\/","title":{"rendered":"La vuln\u00e9rabilit\u00e9 dans Bash c’est quoi ? Et pourquoi nous concerne-t-elle tous ?"},"content":{"rendered":"

Cette semaine, une tr\u00e8s grave faille affectant l\u2019interpr\u00e9teur en ligne de commande\u00a0Bourne again shell (Bash) a \u00e9t\u00e9 d\u00e9couverte et certains n\u2019h\u00e9sitent pas \u00e0 comparer sa gravit\u00e9\u00a0\u00e0 celle d\u2018Heartbleed<\/a>. Bien que l\u2019ampleur des d\u00e9g\u00e2ts soit difficile \u00e0 \u00e9valuer, le mot Bash est sur toutes les l\u00e8vres. D\u2019ailleurs, le pr\u00e9sentateur de votre \u00a0journal t\u00e9l\u00e9vis\u00e9 local en a s\u00fbrement parl\u00e9 hier soir, post\u00e9 devant un \u00e9cran o\u00f9 d\u00e9filaient de myst\u00e9rieux codes verts.<\/p>\n

Mais qu\u2019est-ce que Bash\u00a0?<\/strong><\/p>\n

Bash est une sorte de langage crypt\u00e9 et un programme Shell en ligne de commande d\u00e9velopp\u00e9 en 1989 par le projet GNU. Il permet aux utilisateurs et aux machines d\u2019entrer des commandes et de les ex\u00e9cuter au niveau du syst\u00e8me d\u2019exploitation. En gros, il re\u00e7oit et interpr\u00e8te les commandes. Si vous voulez en savoir plus, consultez l\u2019article sur le site du\u00a0 Projet GNU<\/a>.<\/p>\n

L\u2019interpr\u00e9teur en ligne de commande Bash se retrouve dans la plupart des distributions Linux, Unix ainsi que les syst\u00e8mes d\u2019exploitation OS X d\u2019Apple, qui reprend des \u00e9l\u00e9ments d\u2019Unix et de Linux. En plus de cela, Bash est aussi pr\u00e9sent dans de tr\u00e8s nombreux serveurs Web ainsi que dans des appareils \u00e9lectriques du quotidien comme les routeurs ou les modems (mais pas seulement). On le retrouve aussi sur de nombreux serveurs en r\u00e9seau ainsi que sur d\u2019autres syst\u00e8mes connect\u00e9s \u00e0 Internet.<\/p>\n

La vuln\u00e9rabilit\u00e9 dans Bash a \u00e9t\u00e9 d\u00e9couverte par Stephane Chazelas, un chercheur en s\u00e9curit\u00e9 de la soci\u00e9t\u00e9 Akamai. Comme vous pouvez l\u2019imaginer, cette vuln\u00e9rabilit\u00e9 existe d\u00e9j\u00e0 depuis quelque temps, peut-\u00eatre m\u00eame plus de 20 ans. De la m\u00eame mani\u00e8re que pour Heartbleed, on peut seulement esp\u00e9rer que Chazelas soit la premi\u00e8re personne \u00e0 d\u00e9couvrir la faille, mais il y a peu de chances qu\u2019on sache un jour la v\u00e9rit\u00e9 \u00e0 ce sujet.<\/p>\n

En quoi la vuln\u00e9rabilit\u00e9 dans Bash peut-elle m\u2019affecter?<\/strong><\/p>\n

Il n\u2019a pas fallu beaucoup de temps avant que les exploits visant la vuln\u00e9rabilit\u00e9 dans Bash apparaissent. Ces exploits permettraient \u00e0 un attaquant d\u2019attacher \u00e0 distance un code malveillant via des variables d\u2019environnement sp\u00e9cialement con\u00e7ues. Ce code pourra \u00eatre ex\u00e9cut\u00e9 par l\u2019interpr\u00e9teur de commande lorsque le shell Bash sera lanc\u00e9. En d\u2019autres termes, apr\u00e8s avoir r\u00e9ussi \u00e0 lancer l\u2019exploit, l\u2019attaquant pourra prendre le contr\u00f4le de tous les syst\u00e8mes infect\u00e9s.<\/p>\n

Pour les cybercriminels, elle est bien plus facile \u00e0 exploiter qu\u2019Heartbleed. De plus, dans le cas d\u2019Hearbleed, un cybercriminel pouvait seulement s\u2019emparer de donn\u00e9es stock\u00e9es, et esp\u00e9rer tomber sur quelque chose d\u2019int\u00e9ressant. La vuln\u00e9rabilit\u00e9 \u2018Bash\u2019 permet de prendre le contr\u00f4le de tout le syst\u00e8me. Donc, il y a des chances que ce soit plus dangereux.<\/div>\n

Quand on a demand\u00e9 \u00e0 nos coll\u00e8gues de l\u2019\u00e9quipe internationale de recherche et d\u2019analyse de Kasperky Lab si la vuln\u00e9rabilit\u00e9 dans Bash allait d\u00e9passer Heartbleed, voici ce qu\u2019ils nous ont r\u00e9pondu\u00a0:<\/p>\n

\u00a0\u00bb\u00a0Et bien, pour les cybercriminels elle est bien plus facile \u00e0 exploiter qu\u2019Heartbleed. De plus, dans le cas d\u2019Hearbleed, un cybercriminel pouvait seulement s\u2019emparer de donn\u00e9es stock\u00e9es, et esp\u00e9rer tomber sur quelque chose d\u2019int\u00e9ressant. Par contre, la vuln\u00e9rabilit\u00e9 dans Bash permet de prendre le contr\u00f4le de tout le syst\u00e8me. Donc, il y a des chances que ce soit plus dangereux.\u00a0\u00a0\u00bb<\/p>\n

Les chercheurs de Kaspersky envisagent aussi un sc\u00e9nario dans lequel la vuln\u00e9rabilit\u00e9 dans Bash pourrait \u00eatre utilis\u00e9e pour voler des identifiants bancaires et \u00e9ventuellement de l\u2019argent. Les pirates pourront s\u00fbrement exploiter la vuln\u00e9rabilit\u00e9 dans Bash et voler les identifiants via votre ordinateur, mais cela implique de trouver des codes d\u2019attaques permettant d\u2019acc\u00e9der \u00e0 l\u2019interface de commande Bash. Et ce ne sera pas si facile que \u00e7a. Une hypoth\u00e8se plus probable serait que l\u2019attaquant vise un serveur utilis\u00e9 par le site de votre banque en ligne pr\u00e9f\u00e9r\u00e9e et essaye de voler plusieurs comptes bancaires d\u2019un seul coup.<\/p>\n

\u00a0<\/p>\n

Cette alerte lanc\u00e9e par l\u2019United States Computer Emergency Readiness Team<\/a> r\u00e9sume peut \u00eatre mieux la gravit\u00e9 de la situation\u00a0:<\/p>\n

\u00a0\u00bb\u00a0Cette vuln\u00e9rabilit\u00e9 se classe \u00e0 un\u00a0niveau de dangerosit\u00e9 maximal, atteignant 10 sur l\u2019\u00e9chelle du CVSS\u00a0et poss\u00e8de un indice d\u2019exploitabilit\u00e9 au plus haut, ce qui signifie qu\u2019elle peut \u00eatre exploit\u00e9e facilement. Cette faille permet aux attaquants de fournir des variables d\u2019environnement sp\u00e9cialement con\u00e7ues et contenant des commandes arbitraires qui peuvent s\u2019ex\u00e9cuter sur des syst\u00e8mes vuln\u00e9rables. C\u2019est particuli\u00e8rement dangereux \u00e0 cause de l\u2019utilisation tr\u00e8s r\u00e9pandue du shell Bash, qui peut m\u00eame \u00eatre utilis\u00e9e par de nombreuses applications.\u00a0\u00a0\u00bb<\/p>\n

Heartbleed comme la vuln\u00e9rabilit\u00e9 dans Bash peuvent provoquer des d\u00e9g\u00e2ts de grande ampleur mais contrairement au Heartbleed, la vuln\u00e9rabilit\u00e9 dans Bash est assez simple \u00e0 exploiter.<\/p>\n

Comment me prot\u00e9ger\u00a0?<\/strong><\/p>\n

A part abandonner Internet pour toujours, la seule chose \u00e0 faire pour vous prot\u00e9ger est d\u2019installer les mises \u00e0 jour con\u00e7ues sp\u00e9cialement, d\u00e8s que celles-ci seront disponibles. En ce qui concerne les syst\u00e8mes d\u2019exploitation des ordinateurs fixes ou portables, vous devrez attendre qu\u2019un patch con\u00e7u sp\u00e9cialement pour votre mod\u00e8le soit disponible.<\/p>\n

Qu\u2019est-ce que la vuln\u00e9rabilit\u00e9 #Bash et pourquoi nous concerne-t-elle tous ?<\/p>Tweet<\/a><\/blockquote>\n

Pour ce qui est des routeurs, des modems ou des autres appareils domestiques, il n\u2019y aura pas de solution unique. Le sc\u00e9nario le plus probable est que les fabricants de ces appareils con\u00e7oivent des micrologiciels de mises \u00e0 jour chacun de leur c\u00f4t\u00e9. Dans la plupart des cas, ces actualisations ne s\u2019installeront pas seules comme celles d\u2019un syst\u00e8me d\u2019exploitation traditionnel.<\/p>\n

Comme l\u2019ont soulign\u00e9 aujourd\u2019hui les experts de l\u2019\u00e9quipe internationale de recherche et d\u2019analyse de Kasperky Lab, \u00e9tant donn\u00e9 la versatilit\u00e9 de Bash et son omnipr\u00e9sence dans un grand nombre de syst\u00e8mes, les patchs ne seront efficaces qu\u2019\u00e0 court terme. Pour r\u00e9parer de la vuln\u00e9rabilit\u00e9 dans Bash, il faudra surement essayer et se tromper un nombre incalculable de fois. Et c\u2019est exactement pour cette raison que bon nombre de chercheurs et de m\u00e9dias affirment que les premiers patchs sont \u00a0\u00bb\u00a0incomplets.<\/a>\u00a0\u00a0\u00bb<\/p>\n

Le deuxi\u00e8me probl\u00e8me que je souhaiterais souligner, c\u2019est qu\u2019on retrouve les syst\u00e8mes *nix partout, et c\u2019est la raison pour laquelle Bash est omnipr\u00e9sent aussi. Il y aura sans aucun doute des machines utilisant Bash et qui ne pourront pas \u00eatre mises \u00e0 jour. Il y aura aussi des machines utilisant Bash sans que personne ne s\u2019en aper\u00e7oive.<\/p>\n

Comme Robert Graham de ErrataSec l\u2019a rapport\u00e9 sur son blog, \u00a0\u00bb\u00a0Le nombre de syst\u00e8mes devant \u00eatre patch\u00e9s et qui ne le seront pas, est bien plus important qu\u2019il ne l\u2019\u00e9tait pour Heartbleed.\u00a0\u00a0\u00bb Pour replacer cela dans son contexte, Graham affirme que des centaines de milliers de sites sont toujours vuln\u00e9rables au OpenSSL Heartbleed<\/a>, m\u00eame plusieurs mois apr\u00e8s la sortie des patchs.<\/p>\n","protected":false},"excerpt":{"rendered":"

La vuln\u00e9rabilit\u00e9 dans Bash, qui affecte les syst\u00e8mes d\u2019exploitation Unix, Linus et OS X est la derni\u00e8re menace globale existante et les experts affirment qu\u2019elle pourrait \u00eatre plus dangereuse que l\u2019OpenSSL Heartbleed.<\/p>\n","protected":false},"author":42,"featured_media":3719,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[900,901,669,623,719,61,899,60],"class_list":{"0":"post-3718","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-apple-securite","9":"tag-bash","10":"tag-heartbleed","11":"tag-linux","12":"tag-osx","13":"tag-securite","14":"tag-unix","15":"tag-vulnerabilite"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vulnerabilite-bash\/3718\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/apple-securite\/","name":"apple s\u00e9curit\u00e9"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/3718","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=3718"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/3718\/revisions"}],"predecessor-version":[{"id":14218,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/3718\/revisions\/14218"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/3719"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=3718"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=3718"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=3718"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}