Le CERT américain (Computer Emergency Response Team) vient de publier un bulletin d’alerte avec le niveau le plus haut concernant une nouvelle vulnérabilité découverte et appelée « Shellshock » ou « Bash Bug », présente selon les experts dans de très nombreux systèmes informatiques de par le monde. Après Heartbleed au printemps, cette faille se base sur un interpréteur de commandes appelé BASH (Bourne again shell), qui est utilisé dans des systèmes Linux, notamment des serveurs web, mais aussi sur des systèmes d’exploitation comme Mac OS X et des objets connectés. Cette faille semble présente dès les premières versions de BASH, qui remontent pourtant à plus de vingt ans…
Là encore, il est très difficile de savoir précisément si cette faille a déjà été exploitée, ou dans quelle mesure elle peut l’être (ou l’a déjà été), mais de nombreux correctifs sont d’ores et déjà annoncés, notamment par Apple. Tout ceci restera relativement transparent pour les utilisateurs, l’utilisation de BASH se faisant en arrière-plan sur des serveurs web ou de messagerie, mais cela pose une fois de plus la problématique de la sécurité numérique qui semble plus que jamais défaillante. Depuis plus de trente ans, les utilisateurs essayent de se protéger localement à l’aide de solutions, payantes ou gratuites, mais de plus en plus, les menaces viennent directement des serveurs, outils, plates-formes du Cloud ou du vol de bases de données, sans que l’utilisateur final n’ait le moindre contrôle sur sa sécurité.
