La faille Shellshock, plus inquiétante que Heartbleed ?

Les failles de sécurité se suivent et se ressemblent. Après Heartbleed en mars 2014, c’est au tour de Shellshock de faire parler d’elle. Celle-ci se révèle particulièrement agressive, car en plus de rendre vulnérable une quantité considérable de systèmes, Linux et OS X en tête, Shellshock se déploie avec seulement trois lignes de code. En réponse, le Cert américain, l’organisme chargé d’assurer des services de prévention des risques, a même publié un bulletin d’alerte de niveau 10, le plus élevé.

Cette faille qui se niche dans l’interpréteur de commandes Bash des systèmes d’exploitation Unix ne serait pourtant pas nouvelle, présente depuis une vingtaine d’années.

Les objets connectés concernés

Parmi les menaces entourant les ordinateurs nativement équipés du « shell » incriminé, les experts en sécurité évoquent la possibilité pour une personne malveillante de prendre leur contrôle à distance. Cette faille est aussi la première de grande ampleur pour les objets connectés.

Shellshock  essaie pour l’heure d’être contenue par le déploiement de correctifs, ce qui est le cas pour Ubuntu et Debian par exemple. 

Le risque que fait courir cette faille serait, selon certains experts en sécurité, mille fois supérieur à celui de Heartbleed, menaçant quelque 500 millions de machines dans le monde. Mais comme souvent lorsque ce genre de faille se présente, il faudra du temps pour mesurer ses répercussions.

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !