Un Bash est une commande qui se trouve sur l'OS Unix et qui autorise les utilisateurs à entrer un ordre sous forme de texte convertit en commande, à laquelle l'OS répondra. Il est présent sur Linux et MAC OS (OS X). Il a été créé il y a 25 ans.
BashBug comparé à Heartbleed
La faille Bash – ou « BashBug » – pourrait avoir des répercussions bien plus graves et importantes que Heartbleed. Ce dernier permettait « uniquement » à un hacker de voler des données via un processeur d'authentification (SSl/TLS). BashBug permet au hacker d'exécuter arbitrairement des commandes grâce à cette faille de sécurité. Ce qui est bien plus dangereux que de voler des données et réaliser des attaques sophistiquées. BashBug a la capacité de pénétrer le réseau de n'importe quelle entreprise, alors que Heartbleed organisait des attaques « aléatoires ». Le hacker devait faire plusieurs tentatives, au hasard, avant d'accéder à un serveur contenant des données ayant une valeur. BashBug est une faille beaucoup plus « agressive ». Dès qu'une cible est identifiée et vulnérable, une simple commande suffit pour exécuter un ordre malveillant.
Les entreprises seront moins empressées de corriger cette faille que pour Heartbleed pour différentes raisons. Avec Heartbleed, il était clair pour l'opinion publique que les données sensibles des utilisateurs est un enjeu, alors que l'impact du Shellshock pour n'importe quel utilisateur est encore flou. Shellshock est une faille « technique » qui préoccupera davantage la communauté Technique. De plus, il n'est pas aisé de détecter quelles applications utilisent Bash.
Les différentes cibles de BashBug
• Pour les entreprises
La plus grande menace est si vos serveurs sont opérés par Linux. Aujourd'hui c'est un standard de sécurité pour les entreprises de séparer leurs serveurs web de ceux qui contiennent des données sensibles, ce qui diminue significativement les risques d'intrusion via la faille Bash. Ces serveurs ont beaucoup d'autres mécanismes de défenses qui préviennent contre les attaques de BashBug.
• Pour les particuliers
Heartbleed a représenté un risque potentiellement élevé et immédiat pour les particuliers, car les données bancaires et mots de passe statiques pouvaient être interceptés par les pirates. Dans le cas de la faille Bash, il est peu probable que les hackers s'attaquent à de simples ordinateurs à usage privé, car il existe des méthodes d'attaque bien plus puissantes, déjà utilisées et à grande échelle. Il s'agit notamment des attaques de type phishing, malware ou encore social engineering.
Même s'ils le pouvaient, les pirates n'utiliseront pas la faille Bash pour s'en prendre à des thermostats, réfrigérateurs ou autres luminaires, tout simplement parce qu'ils ne contiennent aucune somme d'argent à dérober. Seuls quelques actes malveillants peuvent avoir lieu. Les organisations cybercriminelles qui représentent un réel danger pour les utilisateurs sont celles qui cherchent à subtiliser de l'argent, ce qui signifie qu'elles ciblent principalement les cartes de crédit ainsi que les comptes bancaires, et non les équipements connectés.
Ce n'est pas la première faille à exposer des routeurs personnels et ça ne sera sûrement pas la dernière, mais l'économie ne va pas dans le sens des pirates. Ces derniers cherchent avant tout à s'emparer d'un grand nombre de cartes de crédit ainsi que des coordonnées bancaires, et non une connexion gratuite à internet. Ils veulent prendre possession du clavier, pirater les sessions et rediriger les utilisateurs vers des URL malveillantes, et tout cela à grande échelle.
• Pour Apple
Peu après le scandale de la fuite de photos de célébrités ou le lancement du portefeuille mobile avec l'Apple Pay, la dernière chose dont Apple a besoin c'est bien d'être associé à une autre faille de sécurité.
La faille Bash est une faille majeure et de grande ampleur, qui nécessite un remède immédiat, principalement en exécutant un patch de sécurité. Mais elle représente en soi un faible potentiel d'exploitation par les pirates. Le scénario le plus probable est que la faille Bash soit utilisée en amont d'attaques plus sophistiquées et de manière combinée avec d'autres méthodes de piratage.