Ouvrir le menu principal

MacGeneration

Recherche

Shellshock : c'est grave docteur ?

Stéphane Moussie

vendredi 03 octobre 2014 à 23:22 • 21

macOS

Il y a une semaine et demie, une faille critique était découverte dans le shell Bash, un utilitaire intégré à la plupart des systèmes UNIX, dont OS X. Une vulnérabilité particulièrement importante puisqu'elle permet à un malandrin d'exécuter des commandes à distance sur la machine ciblée. Apple a rapidement distribué un correctif pour Lion, Mountain Lion et Mavericks, mais l'affaire n'est pas finie pour autant.

D'une part, tous les produits vulnérables n'ont pas été patchés, loin de là. C'est le cas des Mac n'étant pas compatibles avec OS X 10.7 ou ultérieur. Apple a assuré que ses systèmes « sont sécurisés par défaut et ne sont exposés à des attaques à distance que si les utilisateurs configurent les services UNIX avancés. » Autrement dit, les systèmes antérieurs à Lion dont les services UNIX ont été modifiés doivent être patchés à la main par les utilisateurs.

Et puis il y a la myriade d'autres produits qui intègrent Bash. Cisco, Oracle, RedHat et compagnie n'ont pas tardé à publier leur correctif, mais il y a immanquablement des machines qui ne seront jamais mises à jour pour diverses raisons.

Le 30 septembre, soit six jours après la découverte de la faille, le CDN CloudFlare avait bloqué 1,1 million d'attaques Shellshock. Plus de 80 % des attaques étaient des opérations de reconnaissance afin d'établir une liste de machines vulnérables. Cela donne une petite idée des assauts que sont en train de subir les serveurs web à travers le monde. Des serveurs qui ne sont pas tous protégés correctement.

D'autre part, on n'a pas fini d'entendre parler de Shellshock car ce n'est pas une faille qui touche Bash, mais plusieurs. L'interpréteur de commandes a logiquement été passé au crible après la découverte de la vulnérabilité CVE-2014-6271 et d'autres failles ont été pointées du doigt (CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 et CVE-2014-7169). Elles ne sont pas toutes aussi critiques que la première, mais elles décuplent les risques et nécessitent évidemment de nouveaux correctifs. Le patch d'Apple ne bouche pas la faille CVE-2014-7186 par exemple. Shellshock est donc loin de la phase Terminal.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Donald Trump voudrait qu'Apple visse ses iPhone aux États-Unis

08/04/2025 à 21:55

• 58


104 % de droits de douane contre la Chine : Apple en plein cauchemar

08/04/2025 à 20:50

• 132


Bruno Retailleau relance l'idée d'une fusion des carte d'identité et carte Vitale dans France Identité

08/04/2025 à 20:48

• 131


Guide : les alternatives européennes aux services numériques américains

08/04/2025 à 20:30

• 40


Free Mobile n’est plus le quatrième opérateur français

08/04/2025 à 17:46

• 20


Voici le moyen le moins cher d’obtenir Microsoft Office à vie sur Mac en avril 📍

08/04/2025 à 16:14

• 0


Guerre commerciale : Framework « suspend temporairement » ses ventes d’ordinateurs portables aux États-Unis

08/04/2025 à 15:45

• 40


CalDigit présente deux nouvelles stations d’accueil compatibles Thunderbolt 5

08/04/2025 à 12:15

• 10


Immersive Video Utility : le nouvel outil d’Apple pour la production de vidéos immersives pour le Vision Pro

08/04/2025 à 11:54

• 3


Avec l'iPhone des 20 ans, Apple veut refaire le coup de l'iPhone X

08/04/2025 à 10:16

• 54


Freebox Pop S : fibre à 5 Gbit/s et « Wi-Fi 7 » pour 24,99 € par mois

08/04/2025 à 10:00

• 75


iOS 19 : nouvelles images d'une possible interface remaniée

08/04/2025 à 07:48

• 39


Droits de douane : Blackmagic augmente les tarifs de ses produits aux États-Unis

07/04/2025 à 21:37

• 48


Au crépuscule de Skype, Microsoft pousse ses utilisateurs vers Teams

07/04/2025 à 17:15

• 32


Promo : la station d’accueil Thunderbolt 4 d'Amazon Basic à 104,39 € (-19 %)

07/04/2025 à 16:45

• 11


Plongez au cœur de l’actualité Apple et bien plus encore grâce au Club iGen

07/04/2025 à 14:47

• 27