Découverte en 2014, la vulnérabilité Shellshock a secoué le monde en raison de sa gravité. Non seulement elle concerne un grand nombre d’équipements informatiques, mais elle est aussi très facile à exploiter. Voici tout ce que vous devez savoir sur cette faille de sécurité majeure.
Qu’est-ce que le Bash bug également appelé vulnérabilité Shellshock ?
La vulnérabilité Shellshock est une faille critique du GNU Bash. Pour rappel, ce shell est l’interpréteur de commandes par défaut sous Linux. Le Bash bug permet aux hackers d’injecter des commandes malveillantes sur des ordinateurs. Celles-ci seront ensuite exécutées par le système d’exploitation des machines infectées.
Cette brèche de sécurité a été identifiée par le français Stéphane Chazelas, spécialiste des systèmes Unix/Linux. La CGI (Common Gateway Interface) figure parmi les principaux vecteurs d’attaque Shellshock, avec le programme informatique SSH (Secure Shell) et les clients DHCP (Dynamic Host Configuration Protocol).
La faille informatique peut également être exploitée par le biais d’autres vecteurs tels que :
- Les serveurs de messagerie électronique Exim, Postfix et qmail qui s’avèrent vulnérables au moment du traitement du courrier ;
- La solution logicielle Open VPN qui définit des variables d’environnement comme les champs analysés avec le Certificat X.509. Celles-ci sont susceptibles d’être contrôlées par un pirate informatique.
Quels appareils utilisent Bash ?
Comme il a déjà été évoqué précédemment, Bash est l’interpréteur de commandes standard des distributions Linux, mais également du système d’exploitation Unix. Il est aussi le principal shell du système macOS X qui est lui-même fondé sur Unix. De plus, il s’agit d’un composant sous-jacent de la plupart des programmes CGI. C’est d’ailleurs la raison pour laquelle les individus malveillants peuvent exécuter facilement du code arbitraire à distance.
Parfois, l’interpréteur Bash est aussi retrouvé sur les appareils Android et ceux fonctionnant sous Windows (Cygwin). En somme, il fait partie des shells les plus courants.
Pourtant, tous les appareils qui utilisent Bash peuvent être affectés par la vulnérabilité Shellshock. Serveurs Internet, terminaux, routeurs, objets connectés… la liste est longue. Pas moins de 500 millions d’équipements sont concernés. Compte tenu de sa gravité, de son impact et de son exploitabilité, le Bash bug a obtenu le score maximal en termes de vulnérabilités informatiques. Cette notation a été établie par la National Vulnerability Database, le référentiel du gouvernement américain concernant les failles de sécurité informatique.
Pourquoi est-ce une vulnérabilité dangereuse ?
La vulnérabilité Shellshock est particulièrement dangereuse sachant que Bash est présent dans un grand nombre de serveurs. La sécurité informatique en entreprises est ainsi gravement compromise, d’autant plus que des codes d’exploitation du bug ont été diffusés et peuvent ainsi être utilisés par des individus malveillants. Parmi les exploitations de la faille de sécurité figure notamment le logiciel malveillant baptisé Bash Lite.
Dans le détail, les hackers utilisent la faille Shellshock pour exécuter des commandes malveillantes et infecter des serveurs avec des malwares. Ils peuvent ainsi prendre le contrôle total des équipements attaqués. Certains pirates informatiques s’en servent également pour voler des données sensibles comme des identifiants, des mots de passe ou encore des coordonnées bancaires. Ce bug de sécurité constitue donc une menace considérable. Il a même été considéré plus grave que la faille Heartbleed qui affecte la boîte à outils de chiffrement OpenSSL.
Si les cyberattaques sont perpétrées depuis l’avènement d’Internet, le risque d’en être victime s’est accru depuis la crise de la Covid-19. En effet, la pandémie a entraîné le recours massif au télétravail. Dans ce contexte, les opportunités de sévir se sont multipliées pour les pirates informatiques et les spécialistes d’hameçonnage. Les entreprises sont ainsi tenues de renforcer leurs mesures de cybersécurité.
Comment savoir si mon serveur est vulnérable à cette faille de sécurité ?
Pour déterminer si votre serveur est vulnérable à la faille Shellshock, vous pouvez taper la ligne de code suivante dans l’invite Bash :
env var='() { :;};echo Vulnerable’ /bin/bash -c /bin/true
Veillez à respecter les espaces lorsque vous saisirez cette commande. L’apparition du résultat « vulnérable » à l’écran signifie que votre serveur présente une brèche exploitable par un hacker. Cette technique est simple, mais sa systématisation peut s’avérer compliquée notamment dans les entreprises, car celles-ci comptent un grand nombre d’équipements pouvant être attaqués. Son déploiement requiert ainsi beaucoup de temps.
Heureusement, d’autres solutions pour déceler la faille de sécurité ont été mises au point depuis sa découverte. Désormais, elle peut aussi être détectée au moyen de scanners qui repèrent les vulnérabilités. Certains de ces outils sont accessibles gratuitement.
Comment corriger ce bug de sécurité ?
Bash a fait l’objet de mises à jour dans le but de remédier à la faille Shellshock. Le premier geste à adopter est donc d’inventorier les systèmes vulnérables pour que leur version de Bash soit rapidement actualisée. Il convient toutefois de noter que cette solution doit être adoptée seulement à titre temporaire. Des études ont en effet montré que les correctifs mis en place présentent encore une brèche de sécurité.
Des entreprises spécialisées dans la cybersécurité proposent aussi des patchs destinés à protéger les systèmes vulnérables. Une autre solution consiste à remplacer complètement Bash. Par ailleurs, il est possible de recoder un parseur bien plus robuste. Ce moyen de corriger une faille Shellshock s’est d’ailleurs révélé très efficace. Quoi qu’il en soit, il est recommandé de recourir en parallèle à des solutions de sécurité relatives à la prévention d’intrusion afin de limiter le risque.