Sécurité

«Bash bug», une nouvelle faille informatique après Heartbleed

La faille «Bash bug» laisse plusieurs millions de machines vulnérables à un piratage informatique.
La faille «Bash bug» laisse plusieurs millions de machines vulnérables à un piratage informatique. REUTERS/Kacper Pempel/Files

Six mois après Heartbleed, une nouvelle faille de sécurité, concernant les systèmes d’exploitation Linux et Mac OS, a été découverte et touche potentiellement plusieurs millions de machines.

Publicité

L’alerte a été lancée par le département américain de la Sécurité intérieure, mercredi 24 septembre : une nouvelle faille de sécurité informatique, baptisée « Bash bug » ou « Shell shock » (« commotion cérébrale » en français), touche les systèmes d’exploitation Linux et Mac OS X et rend vulnérable plusieurs millions de machines aux piratages informatiques.

Révélée par un ingénieur français, Stéphane Chazelas, cette faille n’aurait rien de nouveau et existerait depuis plus de vingt ans, le programme Bash qu’elle concerne ayant été conçu il y a plusieurs années. « Nous considérons qu'elle est potentiellement plus sérieuse et dangereuse qu'Heartbleed, puisque Bash est installé par défaut sur tous les OS Unix et Mac », confie Paul-Henri Huckel, responsable en veille en vulnérabilités du cabinet français de conseil en sécurité informatique Lexsi, à l'AFP.

Les objets connectés vulnérables

La faille touche le programme intitulé Bash (Bourne-Again shell) qui permet d’accéder aux fonctions du système d’exploitation. Ce programme lit et exécute des instructions permettant ainsi à de nombreux logiciels et applications d’effectuer différentes tâches. Présent dans les systèmes Linux, qui équipent de nombreux sites web, et OS d’Apple, le programme Bash est aussi utilisé dans le domaine des objets connectés, particulièrement vulnérables à cette faille informatique.

Cette vulnérabilité du Bash permet aux pirates informatiques de pouvoir prendre le contrôle de n’importe quelle machine utilisant ce programme, de modifier ou d’effacer le contenu d’un serveur web ou encore d’accéder aux données. La société de logiciels open-source Red Hat a souligné l’ampleur de cette faille, car « il est habituel pour beaucoup de programmes de faire fonctionner Bash en arrière-plan ». Un patch de correction pour cette faille est actuellement en cours de déploiement. 

NewsletterRecevez toute l'actualité internationale directement dans votre boite mail