Quelques semaines après l’apparition de "Heartbleed", une faille de sécurité dans un programme informatique d'encodage, OpenSSL, en usage dans près de la moitié des sites internet, c’est une autre faille, découverte, par hasard par un informaticien français qui fait peser une nouvelle menace sur le réseau internet.
C’est un ingénieur en informatique français, pas spécialement dédié à la sécurité informatique qui est à l’origine de la découverte de cette nouvelle faille, en veille depuis de longues années ; depuis plus d’une vingtaine d’années selon Paul-Henri Huckel, expert du cabinet de conseil en sécurité informatique Lexsi, cité par le site francetv.info.
Interrogé par le site d’information français 01net.com, Stéphane Chazelas, en charge de l’informatique d’une entreprise de robotique écossaise, avoue avoir découvert le ‘’pot aux roses’’, « plus ou moins par hasard », en mettant à profit une pensée du genre, dit il, « qui trotte dans la tête en sortant de la douche ».
Il explique au site avoir, en effet relevé, il y a quelques mois « une vulnérabilité dans une librairie du langage de programmation C (GNU libc), qui s’appuyait sur des variables de l’environnement d’exécution », puis il a « associé ce principe à cette fonctionnalité peu connue de Bash qui permet de définir des fonctions au travers de variables d’environnement. »
Juste après cette découverte, l’alerte est donnée depuis les Etats Unis qui ont alerté, au courant de la dernière semaine du mois de septembre, les internautes contre les risuqes encourus face à cette nouvelle faille qui touche essentiellement les systèmes d’exploitation Linux GNU et Mac OS X d’Apple, avec un nom terrifiant, ‘’Shelleshock’’, littéralement ‘’commotion cérébrale’’.
La nouvelle menace est localisée sur le logiciel ‘’bourne again shelle’’ (bash), bien connu des bidouilleurs et férus de la programmation informatique, qui « permet de lancer des commandes dans une fenêtre de console » et joue le rôle « d'interface entre les systèmes Linux et Mac OS X et l'utilisateur », selon francetv.fr qui précise que « Les systèmes d'exploitation Windows ne sont donc pas concernés. »
Dès les premières alertes, la experts et titres de la presse spécialisée ont tenté de cerner le terrain d’éventuels impacts de cette nouvelle menace que le site francetv capable de frapper « les ordinateurs des particuliers, mais aussi des millions de serveurs web et des systèmes utilisés par des gouvernements ou des hôpitaux », ajoutant aussi que « Les objets connectés (caméras, serrures électroniques, ampoules intelligentes...), qui utilisent des scripts Bash, sont aussi vulnérables. »
Sitôt la vulnérabilité annoncée, les acteurs malveillants du net se sont mobilisés, en quête de failles à mettre à profit. Selon le site 01net.com, de nombreux « experts, dont ceux de la société Trend Micro, ont détecté un code malicieux qui exploite la faille pour enrôler des machines Linux et Mac OS X dans un botnet. » L’injection de ce code corrompu « crée une porte dérobée et télécharge sur la machine un autre malware, baptisé Elf_Bashlite.A. Celui-ci est spécialisé pour lancer des attaques par déni de services distribuées », explique ce site.
Pour accomplir ce forfait, les pirates ne se sont pas trop cassé la tête ; ils ont juste eu à exploiter un programme mis en œuvre par un expert en sécurité informatique Robert Graham, qui, selon 01net, « a voulu savoir combien de systèmes sont vulnérables et a créé un petit script qui scanne les serveurs web. »
Néanmoins, la presse a relevé la présence d’autres ‘’souches’’ de ce code infecté, qui circuleraient actuellement sur le net, même si, comme le précise le site français, « la plupart des codes en circulation se contentent, pour l’instant, de faire un scan, histoire de se constituer une liste de systèmes vulnérables. »
L’heure est à l’observation, avec des craintes, selon les analystes, que des pirates arrivent à transformer « l’un de ces codes malicieux en vers, c’est-à-dire qu’il soit capable de se répliquer automatiquement de serveur en serveur », avertit le site 01net qui craint de voir ainsi la menace se propager « alors de manière exponentielle, avec la possibilité de mettre l’Internet à genou. » En Grande Bretagne, où le gouvernement a émis une alerte maximale, la BBC fait état de l’infection de milers de serveurs, et craint un développement exponentiel, au fur et à mesure que le code sera partagé sur le réseau internet.
Le site d’information slate.fr a tenté une comparaison entre cette nouvelle menace et l’autre faille vécue par le réseau internet il y a quelques temps, intitulée ‘’heartbleed’’. Il a eu comme réponse, celle du site spécialisé Cnet pour qui, il n’y a aucun doute, la menace «Shellshock», est «plus grosse qu'Heartbleed».
Par contre, note le site, l’avis de l’expert en réseau Stéphane Bortzmeyer est plus nuancé, puisqu’il admet qu’il est encore «très difficile d'en évaluer l'ampleur », reconnaissant seulement, comme acquis pour l’instant, « qu'il y a une faille.» Pour sa part, le quotidien gratuit français 20minutes.fr, note que « l'agence gouvernementale US National Cyber Security Division donne un 10 sur 10 à la menace. »
Sonnette d’alarme chez les banquiers américains
Au moment où la menace de la faille Shellshock se fait de plus en plus pesante, et que des armées de pirates sont aux aguets, à l’affut de toute faille dans les applications de leur choix, les autorités de régulation de la finance aux Eatas Unis, enjoignent les banques de « contrôler leur patrimoine applicatif pour se protéger contre les attaques », rapporte le site d’information zdnet.fr qui précise que pour l’éditeur de solutions informatiques Oracle « ce sont plus de 30 logiciels qui sont vulnérables. »
Le site note que la menace représentée par cette nouvelle faille « est prise très au sérieux par les autorités de régulation américaines du secteur de la finance » qui redoutent les actions de nombreux pirates qui auraient, selon ce même site « commencé il y a plusieurs jours déjà à lancer des scans sur Internet afin de détecter les serveurs Web vulnérables à des attaques. »
Ainsi, le Federal Financial Institutions Examinations Council (FFIEC), entité de régulation inter-agence, qui compte dans ses rangs la Banque Centrale Us, a transmis une recommandations aux banquiers américains à l’effet de « prendre au plus vite les mesures adéquates afin de protéger leurs logiciels contre l’exploitation de la faille Shellsock et ainsi prévenir les fraudes », souligne zdnet.fr