En direct
Best of
Best of du 19 au 25 septembre
En direct
Articles populaires
Période :
24 heures
7 jours
01.

COVID-19 : mais où en est la Chine ?

02.

Ce qui se passe vraiment lorsqu’un parfait inconnu devient un ami proche quasi instantanément

03.

Pour la France, la dette est magique, plus on en fait, plus on s’enrichit... alors pourquoi se priver ?

04.

Trump - Biden : un débat chaotique qui ne devrait pas changer les lignes

05.

La délinquance de jeunes venus pour la plupart du Maghreb explose à Paris

06.

Les écologistes ont oublié qu'il faut du vent pour faire tourner les éoliennes

07.

La coupe est pleine. Insurrection ? Désobéissance ? Révolte ? Les PME et TPE ont-elles encore le choix ?

01.

Un rapport officiel allemand souligne que l’agriculture biologique n’est absolument pas plus durable que l’agriculture conventionnelle

02.

Yannick Noah se fait plaquer; Julien Doré réfléchit à l'adoption d'un enfant avec Francis Cabrel, Jean Dujardin & Nathalie Péchalat en attendent un 2éme: Kanye West pense être le Moïse du peuple noir, Carla Bruni que Nicolas S. écrit comme Balzac

03.

Un militant communiste assassiné à Saint-Ouen *

04.

Santé mentale : ces millions de Français que la pandémie fait chanceler ou s’écrouler en silence

05.

La coupe est pleine. Insurrection ? Désobéissance ? Révolte ? Les PME et TPE ont-elles encore le choix ?

06.

Les écologistes ont oublié qu'il faut du vent pour faire tourner les éoliennes

01.

Eric Zemmour condamné pour injure et provocation à la haine

02.

Édouard Philippe ou le vrai-faux espoir de la droite : radioscopie d’un malentendu idéologique

03.

Louis Hausalter : "L'histoire de Marion Maréchal éclaire l’état de décomposition et de recomposition du paysage politique"

04.

Nouvelles mesures face au Covid-19 : Gribouille gouvernemental à la barre

05.

Les écologistes ont oublié qu'il faut du vent pour faire tourner les éoliennes

06.

J’aime les sapins de Noël : je suis un facho

ça vient d'être publié
pépites > Défense
Guerre
L'Azerbaïdjan va combattre jusqu'au "retrait total" des Arméniens du Karabakh
il y a 1 heure 1 min
décryptage > Politique
CAMPAGNE ÉLECTORALE

LR intermittent : mais à quoi a donc joué Gérard Larcher pendant les sénatoriales ?

il y a 2 heures 11 min
décryptage > Culture
Atlanti Culture

"Cabaret Louise" de Régis Vlachos : quand l'histoire de la révolutionnaire Louise Michel est revisitée, complètement décalée, avec des incursions en mai 1968 et avec les Gilets jaunes

il y a 3 heures 28 min
light > High-tech
Pas Perdu
Un système d'adresse gratuit pour localiser avec précision n'importe quel endroit dans le monde
il y a 4 heures 8 min
Bulles
Une marque de champagne propose un millésime 2010 bien que cette année-là soit considérée comme à oublier
il y a 4 heures 52 min
décryptage > International
Le point de vue de Dov Zerah

A la découverte des Emirats arabes unis

il y a 5 heures 58 min
light > Economie
Crise
Disney supprime 28.000 emplois sur 100.000 employés dans ses parcs aux USA
il y a 6 heures 37 min
décryptage > Science
Imagination

Bonne nuit les petits (cyborgs) : le MIT développe une technologie pour téléguider les rêves

il y a 7 heures 6 min
light > High-tech
Sécurité
Amazon One : un nouveau système de paiement en magasin, un scanner qui analyse votre main
il y a 7 heures 32 min
décryptage > Economie
Espoir

Les ménages américains ont connu un boom de leur pouvoir d’achat pendant les années 2010. Voilà les leçons que l’Europe pourrait en retenir

il y a 8 heures 5 min
pépites > Justice
Mesures de restrictions
Covid-19 : la justice confirme la fermeture des bars et des restaurants à Aix-en-Provence et à Marseille
il y a 1 heure 29 min
pépites > Politique
Rapport
Soupçons de détournement de fonds publics : le conseil régional d'Ile-de-France visé par des perquisitions
il y a 2 heures 30 min
décryptage > Culture
Atlanti Culture

"Mon Cousin" de Jan Kounen : l’enfant terrible du cinéma français s’est amusé à "lifter" les codes des films de duos à la Francis Veber

il y a 3 heures 50 min
pépites > France
Affolement sur les réseaux sociaux
Détonation à Paris : un avion a franchi le mur du son
il y a 4 heures 20 min
light > Société
Croc Top
55% des Français se prononcent pour une interdiction des tee-shirts laissant apparaître le nombril dans les lycées
il y a 5 heures 57 min
décryptage > Politique
A voté

Oui, il faut abaisser à 16 ans l’âge du droit de vote

il y a 6 heures 31 min
décryptage > Société
Etincelles

Ce qui se passe vraiment lorsqu’un parfait inconnu devient un ami proche quasi instantanément

il y a 6 heures 52 min
pépite vidéo > Politique
Démocrates Vs Républicains
Présidentielle américaine : retrouvez le premier débat entre Donald Trump et Joe Biden
il y a 7 heures 22 min
décryptage > International
Course à la Maison Blanche

Trump - Biden : un débat chaotique qui ne devrait pas changer les lignes

il y a 7 heures 39 min
pépites > International
Ring
Trump face à Biden : un pugilat confus, un match de boxe, plutôt qu'un débat
il y a 8 heures 21 min
© Reuters
Les ordinateurs Apple Macintosh et Linux ont une importante faille de sécurité.
© Reuters
Les ordinateurs Apple Macintosh et Linux ont une importante faille de sécurité.
Bouh !

Shellshock, le bug informatique qui fait vraiment peur à Apple

Publié le 03 octobre 2014
Une vulnérabilité grave surnommée Shellshock remet en cause la sûreté des ordinateurs Apple Macintosh et Linux.
Guillaume Gète
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Passionné du Mac depuis 20 ans, Guillaume Gète est consultant Apple indépendant depuis 2006 auprès des entreprises à travers sa société Gete.Net Consulting. Formateur, conférencier, auteur de nombreux livres Mac OS X (OS X Efficace, Eyrolles, ou le...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Une vulnérabilité grave surnommée Shellshock remet en cause la sûreté des ordinateurs Apple Macintosh et Linux.

Atlantico : Depuis de nombreuses années, les ordinateurs Apple Macintosh et Linux ont été considérés comme plus sûrs. Mais une vulnérabilité grave surnommée Shellshock remet désormais en cause cette réputation. Concrètement, de quoi s'agit-il ?

Guillaume Gète : Les systèmes basés sur Unix ou son cousin Linux embarquent un logiciel appelé "bash", ce qu'on appelle un interpréteur de commande. Ce n'est pas un logiciel visible : vous l'utilisez essentiellement quand vous lancez le logiciel Terminal, ce que beaucoup de gens sur Mac ne font jamais. Lorsque vous tapez une commande dans une fenêtre de Terminal, elle n'est pas renvoyée directement au système d'exploitation, mais passe par l'interpréteur qui vérifie la validité de ces commandes et les exécute (je schématise). Mais ce logiciel peut être appelé à travers un autre logiciel tournant sur votre ordinateur, par exemple un site web qui serait installé et activé sur votre ordinateur. C'est évidemment le cas avec les serveurs web qui tournent pour beaucoup sous Linux. Et là réside le souci : une fois qu'on a accès à un interpréteur de commande à distance, on peut tout faire sur l'ordinateur.

Qu'est-ce que permet ce bug ? Qui est concerné ?

Il permet donc de lancer des commandes à distances, d'installer des logiciels, des "rootkits" (des logiciels très bien cachés permettant de contrôler tout ce qui se passe sur l'ordinateur), bref… d'accéder à distance et en toute tranquillité à l'ordinateur.

Qui est concerné ? A priori… une énorme partie des utilisateurs de systèmes Linux et ceux basés sur Unix, dont OS X. Bash n'est pas le seul interpréteur de commandes : on en trouve des dizaines sur le marché, chacun ayant ses spécificités. Mais il est livré sur la plupart des systèmes Linux et sur toutes les versions d'OS X par défaut. Donc, il constitue une potentiel de danger immense. 

Le risque pour Apple est-il réel ? 

Très difficile à dire. Apple vend des ordinateurs principalement pour des utilisateurs grand public, qui n'exploitent ou peu d'autres services tournant sous forme de service actif. Par ailleurs, l'un des plus gros vecteurs de diffusion, qui serait le serveur web intégré, n'est plus installé par défaut sous OS X depuis quelques versions déjà. Mais ça ne veut pas dire pour autant qu'il n'y a pas d'autres portes utilisables ! Apple a sorti dans la nuit des mises à jour de sécurité pour ses trois derniers systèmes (http://support.apple.com/downloads/). Le problème, si vous avez un système plus ancien, est qu'il faut faire patcher votre système à la main, en installant les outils développeurs. Faisable, bien sûr, mais très fastidieux... et définitivement pas à la portée du grand public. Disons que si vous continuez d'utiliser un système datant de 2009, il est préférable de le mettre à jour vers une version plus récente, c'est-à-dire dans l'univers Apple, vers Mac OS X Lion minimum (10.7), ou mieux, Mavericks (10.9). Heureusement, cette dernière version est totalement gratuite, donc si votre Mac est compatible, autant faire le saut (à condition que tous vos logiciels soient compatibles !).

Est-ce là le bug qui pourrait porter un coup fatal à l'ascension irrésistible de la pomme ? 

Non, car pour le coup, Apple n'est pas directement fautif. On parle ici de code distribué sous licence GNU (une licence issue du logiciel libre) et particulièrement répandu, donc qu'on pourrait supposer archi-vérifié… C'est par définition une licence de logiciel libre et sur Bash, Apple apporte très peu de modifications. Il y a tous les jours des vulnérabilités dites "jour-zéro", mais celles-ci ne sont pas forcément toutes critiques. Il faut savoir que cette faille semble exister depuis des années, sans que personne ne s'en soit rendu compte. L'exigence de sécurité est certes réelle, mais rien ne dit qu'en choisissant un autre système, on sera parfaitement protégé contre ce type de failles ! Sur Windows, les vulnérabilités zéro jour sont aussi nombreuses. C'est juste un poil plus spectaculaire sur Mac parce qu'Apple vend OS X comme un système très robuste. Et dans l'ensemble… la plateforme Mac reste très sûre, mais ce n'est pas une raison pour éviter toutes les bonnes pratiques d'un environnement informatique aujourd'hui. En particulier, pensez à installer un antivirus - oui, même sur un Mac. C'est comme les assurances : on se dit que ça ne sert à rien… jusqu'au jour où on en a besoin. Pensez aussi à mettre à jour vos ordinateurs régulièrement (ce n'est plus très compliqué avec les systèmes de mise à jour automatiques), chiffrez vos données sensibles ou ne les laissez pas trainer sur votre ordinateur.

Il n'est cependant pas question non plus de virer dans le catastrophisme outrancier. Certes, la faille est sérieuse, mais à partir du moment où votre ordinateur est connecté derrière votre box Internet avec un coupe-feu (le fameux firewall) actif, et que vous ne cochez pas les cases-que-vous-ne-savez-même-pas-à-quoi-ça-sert, il n'y a pas de raison majeure de tomber dans un piège.
 

Comme pour le bug Heartbleed, si les personnes susceptibles de réparer cette faille ignorent son existence, sera-t-il possible d'en venir à bout avant des années ?

Heartbleed a mis à mal un concept qu'on pouvait penser infaillible et sur lequel l'ensemble du monde informatique avait mis toute sa confiance (c'est le cas de le dire) : le protocole SSL (Secure Socket Layer), qui est utilisé partout, et pour le coup, totalement multi-plateformes, pour chiffrer les connexions et éviter le piratage d'informations sensibles. Par exemple, dès que vous vous connectez à un site dit sécurisé, avec une adresse qui commence par https://, c'est SSL qui est mis en œuvre. La faille Heartbleed était grave car elle pouvait divulguer des informations sur des connexions pourtant considérées comme sécurisées. Et elle a mis plus de deux ans à être découverte ! Pour Shellshock (notez la tendance à trouver de jolis noms aux failles récentes…), c'est pire dans le sens où la faille est sérieuse et risque de compromettre les machines elles-mêmes, et qu'il s'agit d'un logiciel archi-répandu. Mais le patch est déjà là, il va juste falloir du temps pour soigner les plaies. En espérant ne pas tomber sur un os encore plus gros…

Les commentaires de cet article sont à lire ci-après
Commentaires (1)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
minilamber
- 30/09/2014 - 09:22
Corrigé de puis le 29/09/14
Bug réglé depuis ce matin…
Sur Lion, Mountain Lion et Mavewick
OS X bash Update 1.0 :
http://support.apple.com/kb/DL1767
http://support.apple.com/kb/DL1768
http://support.apple.com/kb/DL1769?viewlocale=en_US&locale=en_US