Votre nom :
Votre email :
Email du destinataire :

Attention aux applications non certifiées !

Shellshock - Attention aux applications non certifiées !

Au début du mois, un chercheur annonçait la découverte d’une très importante faille de sécurité dans un programme essentiel des systèmes d’exploitations du type Unix : le « shell ». Pour les utilisateurs de distributions GNU/Linux ou de Os X cela représente le « Terminal ». Cette découverte montre qu’un autre programme peut utiliser le shell pour accéder à des données privées et exécuter des programmes sans contrôle.

Quelle est la faille ?

Quand on exécute un programme quel qu’il soit, il est possible de lui transmettre des paramètres qu’il utilisera, ou pas, lors de son exécution. Il existe aussi un second type de données externes au programme qu’il peut exploiter lors de son fonctionnement : les variables globales. Ces dernières sont définies juste avant le lancement du programme et mises à sa disposition au moment de son démarrage. Le shell utilise certaines de ces variables pour préparer son environnement d’exécution et pour exécuter des commandes dès son lancement.

Il se trouve que dans ce cas précis, les variables globales peuvent être utilisées pour exécuter des programmes sans autorisation et sans contrôle de la part de l’utilisateur.

Quel est le danger ?

Un programme malveillant pourrait utiliser cette faille pour accéder à vos fichiers personnels et à toutes vos données de configuration sans avoir à vous demander l’autorisation. Il pourrait aussi modifier certains réglages de l’ordinateur de la même manière. Dans un environnement d’exécution sécurisé comme, par exemple, le bac à sable des applications de l’AppStore, il n’est pas possible d’accéder à des fichiers qui ne se trouvent pas déjà dans le dossier de l’application. Si le programme souhaite en obtenir l’accès, il doit demander au système, qui demande à l’utilisateur s’il autorise ou non l’accès.

Dans le cas de cette faille, vous l’aurez compris, il n’est pas question de demander l’accès.

Notre conseil

Dans l’attente d’une correction à l’échelle globale, nous vous recommandons d’être particulièrement vigilants concernant les applications que vous installez sur vos machines GNU/Linux ou Os X. Windows n’étant pas concerné, pour l’heure, par cette faille, vous n’avez pas d’inquiétude à avoir. Dans l’attente d’une correction totale du problème, dont nous vous informerons, vous ne devriez utiliser que des applications dont l’origine est sûre (éditeur connu et réputé) ou provenant de l’AppStore, donc dotée d’un bac-à-sable. Les applications provenant d’un développeur certifié sont aussi relativement fiables, au moins elles vous donnent la possibilité d’identifier un coupable.

Correction publiée

La correction est désormais disponible sur la plupart des systèmes touchés, les distributions GNU/Linux comme Os X ont été mis à jour. Vous pouvez considérer que le risque est maintenant moindre. Cependant nos conseil valent toujours, même en l’absence de faille de cette faille. Une autre faille peut se cacher ailleurs, aussi il est plus que souhaitable de n’utiliser que des applications dont la réputation est établie, ou bien dont le développeur ou la société est réputée ou certifiée.

 

TAGS appstorebashbug bashcertifiéheartbleedpiratageshellshellshockvulnérabilité

Aucun commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«Parapluie Paracétamol Parachute Paranalogie Parasite»

Dans le texte ci dessus, quel mot nous protège le plus des averses  ?

Votre réponse :