Shellshock, le bug informatique qui fait vraiment peur à Apple

Atlantico : Depuis de nombreuses années, les ordinateurs Apple Macintosh et Linux ont été considérés comme plus sûrs. Mais une vulnérabilité grave surnommée Shellshock remet désormais en cause cette réputation. Concrètement, de quoi s'agit-il ?

Guillaume Gète : Les systèmes basés sur Unix ou son cousin Linux embarquent un logiciel appelé "bash", ce qu'on appelle un interpréteur de commande. Ce n'est pas un logiciel visible : vous l'utilisez essentiellement quand vous lancez le logiciel Terminal, ce que beaucoup de gens sur Mac ne font jamais. Lorsque vous tapez une commande dans une fenêtre de Terminal, elle n'est pas renvoyée directement au système d'exploitation, mais passe par l'interpréteur qui vérifie la validité de ces commandes et les exécute (je schématise). Mais ce logiciel peut être appelé à travers un autre logiciel tournant sur votre ordinateur, par exemple un site web qui serait installé et activé sur votre ordinateur. C'est évidemment le cas avec les serveurs web qui tournent pour beaucoup sous Linux. Et là réside le souci : une fois qu'on a accès à un interpréteur de commande à distance, on peut tout faire sur l'ordinateur.

Qu'est-ce que permet ce bug ? Qui est concerné ?

Il permet donc de lancer des commandes à distances, d'installer des logiciels, des "rootkits" (des logiciels très bien cachés permettant de contrôler tout ce qui se passe sur l'ordinateur), bref… d'accéder à distance et en toute tranquillité à l'ordinateur.

Qui est concerné ? A priori… une énorme partie des utilisateurs de systèmes Linux et ceux basés sur Unix, dont OS X. Bash n'est pas le seul interpréteur de commandes : on en trouve des dizaines sur le marché, chacun ayant ses spécificités. Mais il est livré sur la plupart des systèmes Linux et sur toutes les versions d'OS X par défaut. Donc, il constitue une potentiel de danger immense. 

Le risque pour Apple est-il réel ? 

Très difficile à dire. Apple vend des ordinateurs principalement pour des utilisateurs grand public, qui n'exploitent ou peu d'autres services tournant sous forme de service actif. Par ailleurs, l'un des plus gros vecteurs de diffusion, qui serait le serveur web intégré, n'est plus installé par défaut sous OS X depuis quelques versions déjà. Mais ça ne veut pas dire pour autant qu'il n'y a pas d'autres portes utilisables ! Apple a sorti dans la nuit des mises à jour de sécurité pour ses trois derniers systèmes (http://support.apple.com/downloads/). Le problème, si vous avez un système plus ancien, est qu'il faut faire patcher votre système à la main, en installant les outils développeurs. Faisable, bien sûr, mais très fastidieux... et définitivement pas à la portée du grand public. Disons que si vous continuez d'utiliser un système datant de 2009, il est préférable de le mettre à jour vers une version plus récente, c'est-à-dire dans l'univers Apple, vers Mac OS X Lion minimum (10.7), ou mieux, Mavericks (10.9). Heureusement, cette dernière version est totalement gratuite, donc si votre Mac est compatible, autant faire le saut (à condition que tous vos logiciels soient compatibles !).

Est-ce là le bug qui pourrait porter un coup fatal à l'ascension irrésistible de la pomme ? 

Non, car pour le coup, Apple n'est pas directement fautif. On parle ici de code distribué sous licence GNU (une licence issue du logiciel libre) et particulièrement répandu, donc qu'on pourrait supposer archi-vérifié… C'est par définition une licence de logiciel libre et sur Bash, Apple apporte très peu de modifications. Il y a tous les jours des vulnérabilités dites "jour-zéro", mais celles-ci ne sont pas forcément toutes critiques. Il faut savoir que cette faille semble exister depuis des années, sans que personne ne s'en soit rendu compte. L'exigence de sécurité est certes réelle, mais rien ne dit qu'en choisissant un autre système, on sera parfaitement protégé contre ce type de failles ! Sur Windows, les vulnérabilités zéro jour sont aussi nombreuses. C'est juste un poil plus spectaculaire sur Mac parce qu'Apple vend OS X comme un système très robuste. Et dans l'ensemble… la plateforme Mac reste très sûre, mais ce n'est pas une raison pour éviter toutes les bonnes pratiques d'un environnement informatique aujourd'hui. En particulier, pensez à installer un antivirus - oui, même sur un Mac. C'est comme les assurances : on se dit que ça ne sert à rien… jusqu'au jour où on en a besoin. Pensez aussi à mettre à jour vos ordinateurs régulièrement (ce n'est plus très compliqué avec les systèmes de mise à jour automatiques), chiffrez vos données sensibles ou ne les laissez pas trainer sur votre ordinateur.

Comme pour le bug Heartbleed, si les personnes susceptibles de réparer cette faille ignorent son existence, sera-t-il possible d'en venir à bout avant des années ?

Heartbleed a mis à mal un concept qu'on pouvait penser infaillible et sur lequel l'ensemble du monde informatique avait mis toute sa confiance (c'est le cas de le dire) : le protocole SSL (Secure Socket Layer), qui est utilisé partout, et pour le coup, totalement multi-plateformes, pour chiffrer les connexions et éviter le piratage d'informations sensibles. Par exemple, dès que vous vous connectez à un site dit sécurisé, avec une adresse qui commence par https://, c'est SSL qui est mis en œuvre. La faille Heartbleed était grave car elle pouvait divulguer des informations sur des connexions pourtant considérées comme sécurisées. Et elle a mis plus de deux ans à être découverte ! Pour Shellshock (notez la tendance à trouver de jolis noms aux failles récentes…), c'est pire dans le sens où la faille est sérieuse et risque de compromettre les machines elles-mêmes, et qu'il s'agit d'un logiciel archi-répandu. Mais le patch est déjà là, il va juste falloir du temps pour soigner les plaies. En espérant ne pas tomber sur un os encore plus gros…