Lexsi explique Shellshock

Paul-Henri Huckel, responsable en veille en vulnérabilités et réponse à incident chez Lexsi explique la vulnérabilité ShellShock.

ShellShock est le nom de code donné à une vulnérabilité rendue publique récemment. Elle permet à un attaquant de prendre la main à distance sur un poste en utilisant une faille qui a été incluse dans Bash vingt ans auparavant.

Bash est un interpréteur de commandes, un langage qui permet de lancer des logiciels, de créer des scripts… Qui vont ensuite être interprétés par l’ordinateur ?

Q. Avec Shellshock, le pirate prend possession de ces commandes et peut agir comme il l’entend avec un type de matériel (PC, tablet, smartphone…) ?

Paul-Henri HUCKEL : En lançant une commande Bash, l’attaquant peut installer ou créer des connexions à distance avec un poste victime. L’attaquant ne peut sévir que dans le monde Linux, Unix et Mac OS. Les ordinateurs mac peuvent être affectés par cette vulnérabilité. En revanche, les tablet et les smartphones ne peuvent l’être que s’ils ont été auparavant victime d’un jailbreak, comme l’IOS 7 sur le iPhone 5 en mai dernier. Le 2 octobre on a appris sur le site Gamergen qu’un spyware chinois permet de récupérer les informations personnelles d’un appareil lorsqu’il a été dévérouillé (jailbreak). L’univers Windows n’est pas concerné parce que Bash n’est pas utilisé.

Q. Avez-vous relevé des attaques ?

P-H H : Rien d’officiel, mais il est évident que les services informatiques des entreprises se font attaquer ou testés sur leur vulnérabilité à ShellShock.

Q. Quel est le niveau de risque ?

P-H H : Comme la vulnérabilité est relativement simple à exploiter un attaquant pourrait prendre le contrôle du poste à distance d’une grande entreprise et pénétrer dans son réseau interne. Dès lors, il pourra récupérer des données sensibles, comme les données bancaires, ou des informations sur des brevets en cours d’élaboration… De nombreuses entreprises utilisent des serveurs Linux pour les services internet et la messagerie. Ils sont donc tous vulnérables.

Q. Quel est le degré de dangerosité de ShellShock ?

P-H H : Si on prend une échelle de 10, on peut lui attribuer une note de 9/10. Il existe une notation de ces risques au niveau mondial qui attribue à ShellShock d’une note de 10/10.

Q. Que proposez-vous chez Lexsi pour contrecarrer cette vulnérabilité ?

P-H H : Les constructeurs ont édité des patchs. Mais on constate que les patchs publiés ne comblent que de manière incomplète la faille : depuis une semaine, six vulnérabilités associées à cet outil ont été rendues publiques, dont quatre qui découlent de ShellShock.

Poster un commentaire

Classé dans Sécurité

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s