Ouvrir le menu principal

MacGeneration

Recherche

Shellshock : c'est grave docteur ?

Stéphane Moussie

vendredi 03 octobre 2014 à 23:22 • 21

macOS

Il y a une semaine et demie, une faille critique était découverte dans le shell Bash, un utilitaire intégré à la plupart des systèmes UNIX, dont OS X. Une vulnérabilité particulièrement importante puisqu'elle permet à un malandrin d'exécuter des commandes à distance sur la machine ciblée. Apple a rapidement distribué un correctif pour Lion, Mountain Lion et Mavericks, mais l'affaire n'est pas finie pour autant.

D'une part, tous les produits vulnérables n'ont pas été patchés, loin de là. C'est le cas des Mac n'étant pas compatibles avec OS X 10.7 ou ultérieur. Apple a assuré que ses systèmes « sont sécurisés par défaut et ne sont exposés à des attaques à distance que si les utilisateurs configurent les services UNIX avancés. » Autrement dit, les systèmes antérieurs à Lion dont les services UNIX ont été modifiés doivent être patchés à la main par les utilisateurs.

Et puis il y a la myriade d'autres produits qui intègrent Bash. Cisco, Oracle, RedHat et compagnie n'ont pas tardé à publier leur correctif, mais il y a immanquablement des machines qui ne seront jamais mises à jour pour diverses raisons.

Le 30 septembre, soit six jours après la découverte de la faille, le CDN CloudFlare avait bloqué 1,1 million d'attaques Shellshock. Plus de 80 % des attaques étaient des opérations de reconnaissance afin d'établir une liste de machines vulnérables. Cela donne une petite idée des assauts que sont en train de subir les serveurs web à travers le monde. Des serveurs qui ne sont pas tous protégés correctement.

D'autre part, on n'a pas fini d'entendre parler de Shellshock car ce n'est pas une faille qui touche Bash, mais plusieurs. L'interpréteur de commandes a logiquement été passé au crible après la découverte de la vulnérabilité CVE-2014-6271 et d'autres failles ont été pointées du doigt (CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 et CVE-2014-7169). Elles ne sont pas toutes aussi critiques que la première, mais elles décuplent les risques et nécessitent évidemment de nouveaux correctifs. Le patch d'Apple ne bouche pas la faille CVE-2014-7186 par exemple. Shellshock est donc loin de la phase Terminal.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

WhatsApp prépare le chat audio et vidéo dans sa version web

10:02

• 0


Promo : un NAS UGREEN à quatre baies avec Ethernet 10G à 565 € au lieu de 700

08:17

• 16


Une quatrième bêta pour iOS et iPadOS 18.5

06:20

• 17


MacBook Air M4 : la chute des prix se poursuit sur ce nouvel incontournable

28/04/2025 à 23:10

• 34


Safari : l’extension Tabstract permet de facilement retrouver un groupe d’onglets

28/04/2025 à 21:00

• 3


Les apps Electron méritent-elles encore leur mauvaise réputation ?

28/04/2025 à 20:30

• 10


macOS 15.5 passe en bêta 4

28/04/2025 à 19:08

• 2


PowerPhotos 3 toujours plus puissant pour gérer les bibliothèques de Photos

28/04/2025 à 15:29

• 3


Un écran E Ink rafraîchi à 60 Hz chez Dasung

28/04/2025 à 15:02

• 19


À quoi ressembleront les AirPods Pro 3 ? Voici les nouveautés attendues

28/04/2025 à 14:42

• 32


France Identité : le permis de conduire numérique va devenir plus complet

28/04/2025 à 14:41

• 42


Le très bon SSD externe Corsair USB4 de 2 To à 199 €, son prix le plus bas à ce jour

28/04/2025 à 12:05

• 0


La responsable de Chrome estime que seul Google peut gérer son navigateur

28/04/2025 à 10:14

• 13


Bouygues Telecom améliore encore son offre B&You Pure fibre, laissant la concurrence loin derrière

28/04/2025 à 10:01

• 107


Netflix va systématiquement proposer des sous-titres dans la langue d’origine du contenu

28/04/2025 à 09:49

• 13


Apple a invité des influenceurs du monde entier pour les 10 ans de l'Apple Watch

27/04/2025 à 22:18

• 74