En direct
Best of
Best of du 18 au 24 janvier
En direct
Flash-actu
Articles populaires
Période :
24 heures
7 jours
01.

Révolution en Grande Bretagne : Boris Johnson va interdire la "réparation de l’hymen" !

02.

La masse d’épargne accumulée par les Français trahit cette contradiction mortifère entre la vraie richesse de ce pays et le sentiment de pauvreté.

03.

Des déchets nucléaires recyclés permettraient d'obtenir des batteries quasi éternelles

04.

LR : ce que le parti devrait retenir de la stratégie sans concession de Rachida Dati

05.

Coronavirus : quand les experts américains en sécurité biologique alertaient sur les risques posés par le laboratoire chinois ultra sensible de… Wuhan

06.

Ce que les municipales risquent d’imposer à Emmanuel Macron

07.

Ce laser super puissant développé par Israël pourrait devenir un instrument de paix

01.

La masse d’épargne accumulée par les Français trahit cette contradiction mortifère entre la vraie richesse de ce pays et le sentiment de pauvreté.

02.

Et si l’univers n’avait pas de fin (ni de début)

03.

Les ministres seraient deux fois plus riches sous le quinquennat d’Emmanuel Macron que sous François Hollande

04.

Macron est content, Martinez ronge son frein et Berger engrange les adhésions. Mais la France va mieux ou pas ?

05.

Des déchets nucléaires recyclés permettraient d'obtenir des batteries quasi éternelles

06.

Pourquoi le projet de loi de lutte contre la cyber haine représente une menace aussi grave que la réalité qu’il entend combattre

01.

La France, ni dictature, ni régime autoritaire mais néanmoins une démocratie affaiblie…

02.

Mila menacée de mort et de viol pour avoir critiqué l’Islam : « elle l’a cherché, qu’elle assume » !

03.

Vu dans un manuel d'histoire : "les attentats du 11 septembre ont été orchestrés par la CIA" !

04.

Mais pourquoi la droite semble-t-elle incapable de capitaliser sur le rejet du duel retour Macron / Le Pen ?

05.

69% des Français pensent qu’Emmanuel Macron ne sera pas réélu. Mais quel scénario pourrait empêcher son match retour avec Marine Le Pen ?

06.

Pourquoi l’indépendance de la justice ne signifie pas que les magistrats ne doivent aucun compte aux Français ?

ça vient d'être publié
pépites > France
Pompiers VS policiers
Manifestation nationale à Paris: de violents incidents ont éclaté entre pompiers et policiers
il y a 1 heure 7 min
décryptage > Media
L'art de la punchline

Un 28 janvier 2020 en tweets : Jean-Sébastien Ferjou en 280 caractères

il y a 4 heures 40 min
décryptage > International
Une ingérence qui pèse

La privatisation de la guerre par les EAU en Libye et au Yémen ou comment Abu Dhabi recrute de jeunes soudanais pour « leurs » guerres

il y a 6 heures 10 min
décryptage > France
Chômage 2019

Pourquoi la baisse du chômage ne se joue pas à Paris

il y a 7 heures 16 min
décryptage > Santé
Septicémies

Alerte à l’empoisonnement du sang : une mort sur 5 dans le monde causée par les sepsis

il y a 7 heures 38 min
décryptage > Politique
Une stratégie sans faille ?

LR : ce que le parti devrait retenir de la stratégie sans concession de Rachida Dati

il y a 8 heures 18 min
pépites > High-tech
Apple Pay
2020 : 99 % des cartes françaises seront compatibles Apple Pay
il y a 21 heures 50 min
pépite vidéo > Media
Un bad buzz
Rognée d'une photo officielle : Vanessa Nakate dénonce un acte raciste
il y a 1 jour 4 min
décryptage > Culture
Atlanti Culture

"Dépendances" : une pièce de théâtre où la fratrie est mise en avant

il y a 1 jour 3 heures
décryptage > Culture
Atlanti Culture

"Là où chantent les écrevisses" : un roman qui a déjà conquis 4 millions de lecteurs

il y a 1 jour 3 heures
pépite vidéo > Politique
Municipales 2020
"Je ne fais pas de combine" : Rachida Dati se défend sur sa candidature
il y a 3 heures 46 min
décryptage > International
Un accord de paix

Ce plan Trump pour la paix dont les Palestiniens ne sauront pas plus saisir que des précédents

il y a 5 heures 45 min
décryptage > International
Ils veulent du sang

Révolution en Grande Bretagne : Boris Johnson va interdire la "réparation de l’hymen" !

il y a 6 heures 30 min
décryptage > High-tech
Décryptage High-Tech

SILICON VALLEY : le célèbre berceau américain de la Tech abandonnerait-il la culture « start-up » que le monde lui envie, en matière d’innovation ?

il y a 7 heures 23 min
décryptage > International
Atlantico Business

Coronavirus : la Chine en profite pour donner des leçons d’efficacité au monde occidental

il y a 8 heures 5 min
décryptage > Justice
Justice en France

Pourquoi l’indépendance de la justice ne signifie pas que les magistrats ne doivent aucun compte aux Français ?

il y a 8 heures 38 min
pépites > Politique
Et après ?
Brexit : Quelles sont les démarches que les Français devront effectuer pour se rendre en Grande-Bretagne ?
il y a 22 heures 38 min
pépites > Santé
Conoravirus
Coronavirus : comment les Français atteints du virus sont-ils pris en charge sur le territoire ?
il y a 1 jour 1 heure
décryptage > Politique
C'est grave docteur ?

Et Benjamin Griveaux dérailla gravement à la gare de l'Est…

il y a 1 jour 3 heures
décryptage > Politique
Nouvelle technologie

Ce laser super puissant développé par Israël pourrait devenir un instrument de paix

il y a 1 jour 4 heures
© Reuters
Les ordinateurs Apple Macintosh et Linux ont une importante faille de sécurité.
© Reuters
Les ordinateurs Apple Macintosh et Linux ont une importante faille de sécurité.
Bouh !

Shellshock, le bug informatique qui fait vraiment peur à Apple

Publié le 03 octobre 2014
Une vulnérabilité grave surnommée Shellshock remet en cause la sûreté des ordinateurs Apple Macintosh et Linux.
Passionné du Mac depuis 20 ans, Guillaume Gète est consultant Apple indépendant depuis 2006 auprès des entreprises à travers sa société Gete.Net Consulting. Formateur, conférencier, auteur de nombreux livres Mac OS X (OS X Efficace, Eyrolles, ou le...
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Guillaume Gète
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Passionné du Mac depuis 20 ans, Guillaume Gète est consultant Apple indépendant depuis 2006 auprès des entreprises à travers sa société Gete.Net Consulting. Formateur, conférencier, auteur de nombreux livres Mac OS X (OS X Efficace, Eyrolles, ou le...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Une vulnérabilité grave surnommée Shellshock remet en cause la sûreté des ordinateurs Apple Macintosh et Linux.

Atlantico : Depuis de nombreuses années, les ordinateurs Apple Macintosh et Linux ont été considérés comme plus sûrs. Mais une vulnérabilité grave surnommée Shellshock remet désormais en cause cette réputation. Concrètement, de quoi s'agit-il ?

Guillaume Gète : Les systèmes basés sur Unix ou son cousin Linux embarquent un logiciel appelé "bash", ce qu'on appelle un interpréteur de commande. Ce n'est pas un logiciel visible : vous l'utilisez essentiellement quand vous lancez le logiciel Terminal, ce que beaucoup de gens sur Mac ne font jamais. Lorsque vous tapez une commande dans une fenêtre de Terminal, elle n'est pas renvoyée directement au système d'exploitation, mais passe par l'interpréteur qui vérifie la validité de ces commandes et les exécute (je schématise). Mais ce logiciel peut être appelé à travers un autre logiciel tournant sur votre ordinateur, par exemple un site web qui serait installé et activé sur votre ordinateur. C'est évidemment le cas avec les serveurs web qui tournent pour beaucoup sous Linux. Et là réside le souci : une fois qu'on a accès à un interpréteur de commande à distance, on peut tout faire sur l'ordinateur.

Qu'est-ce que permet ce bug ? Qui est concerné ?

Il permet donc de lancer des commandes à distances, d'installer des logiciels, des "rootkits" (des logiciels très bien cachés permettant de contrôler tout ce qui se passe sur l'ordinateur), bref… d'accéder à distance et en toute tranquillité à l'ordinateur.

Qui est concerné ? A priori… une énorme partie des utilisateurs de systèmes Linux et ceux basés sur Unix, dont OS X. Bash n'est pas le seul interpréteur de commandes : on en trouve des dizaines sur le marché, chacun ayant ses spécificités. Mais il est livré sur la plupart des systèmes Linux et sur toutes les versions d'OS X par défaut. Donc, il constitue une potentiel de danger immense. 

Le risque pour Apple est-il réel ? 

Très difficile à dire. Apple vend des ordinateurs principalement pour des utilisateurs grand public, qui n'exploitent ou peu d'autres services tournant sous forme de service actif. Par ailleurs, l'un des plus gros vecteurs de diffusion, qui serait le serveur web intégré, n'est plus installé par défaut sous OS X depuis quelques versions déjà. Mais ça ne veut pas dire pour autant qu'il n'y a pas d'autres portes utilisables ! Apple a sorti dans la nuit des mises à jour de sécurité pour ses trois derniers systèmes (http://support.apple.com/downloads/). Le problème, si vous avez un système plus ancien, est qu'il faut faire patcher votre système à la main, en installant les outils développeurs. Faisable, bien sûr, mais très fastidieux... et définitivement pas à la portée du grand public. Disons que si vous continuez d'utiliser un système datant de 2009, il est préférable de le mettre à jour vers une version plus récente, c'est-à-dire dans l'univers Apple, vers Mac OS X Lion minimum (10.7), ou mieux, Mavericks (10.9). Heureusement, cette dernière version est totalement gratuite, donc si votre Mac est compatible, autant faire le saut (à condition que tous vos logiciels soient compatibles !).

Est-ce là le bug qui pourrait porter un coup fatal à l'ascension irrésistible de la pomme ? 

Non, car pour le coup, Apple n'est pas directement fautif. On parle ici de code distribué sous licence GNU (une licence issue du logiciel libre) et particulièrement répandu, donc qu'on pourrait supposer archi-vérifié… C'est par définition une licence de logiciel libre et sur Bash, Apple apporte très peu de modifications. Il y a tous les jours des vulnérabilités dites "jour-zéro", mais celles-ci ne sont pas forcément toutes critiques. Il faut savoir que cette faille semble exister depuis des années, sans que personne ne s'en soit rendu compte. L'exigence de sécurité est certes réelle, mais rien ne dit qu'en choisissant un autre système, on sera parfaitement protégé contre ce type de failles ! Sur Windows, les vulnérabilités zéro jour sont aussi nombreuses. C'est juste un poil plus spectaculaire sur Mac parce qu'Apple vend OS X comme un système très robuste. Et dans l'ensemble… la plateforme Mac reste très sûre, mais ce n'est pas une raison pour éviter toutes les bonnes pratiques d'un environnement informatique aujourd'hui. En particulier, pensez à installer un antivirus - oui, même sur un Mac. C'est comme les assurances : on se dit que ça ne sert à rien… jusqu'au jour où on en a besoin. Pensez aussi à mettre à jour vos ordinateurs régulièrement (ce n'est plus très compliqué avec les systèmes de mise à jour automatiques), chiffrez vos données sensibles ou ne les laissez pas trainer sur votre ordinateur.

Il n'est cependant pas question non plus de virer dans le catastrophisme outrancier. Certes, la faille est sérieuse, mais à partir du moment où votre ordinateur est connecté derrière votre box Internet avec un coupe-feu (le fameux firewall) actif, et que vous ne cochez pas les cases-que-vous-ne-savez-même-pas-à-quoi-ça-sert, il n'y a pas de raison majeure de tomber dans un piège.
 

Comme pour le bug Heartbleed, si les personnes susceptibles de réparer cette faille ignorent son existence, sera-t-il possible d'en venir à bout avant des années ?

Heartbleed a mis à mal un concept qu'on pouvait penser infaillible et sur lequel l'ensemble du monde informatique avait mis toute sa confiance (c'est le cas de le dire) : le protocole SSL (Secure Socket Layer), qui est utilisé partout, et pour le coup, totalement multi-plateformes, pour chiffrer les connexions et éviter le piratage d'informations sensibles. Par exemple, dès que vous vous connectez à un site dit sécurisé, avec une adresse qui commence par https://, c'est SSL qui est mis en œuvre. La faille Heartbleed était grave car elle pouvait divulguer des informations sur des connexions pourtant considérées comme sécurisées. Et elle a mis plus de deux ans à être découverte ! Pour Shellshock (notez la tendance à trouver de jolis noms aux failles récentes…), c'est pire dans le sens où la faille est sérieuse et risque de compromettre les machines elles-mêmes, et qu'il s'agit d'un logiciel archi-répandu. Mais le patch est déjà là, il va juste falloir du temps pour soigner les plaies. En espérant ne pas tomber sur un os encore plus gros…

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Révolution en Grande Bretagne : Boris Johnson va interdire la "réparation de l’hymen" !

02.

La masse d’épargne accumulée par les Français trahit cette contradiction mortifère entre la vraie richesse de ce pays et le sentiment de pauvreté.

03.

Des déchets nucléaires recyclés permettraient d'obtenir des batteries quasi éternelles

04.

LR : ce que le parti devrait retenir de la stratégie sans concession de Rachida Dati

05.

Coronavirus : quand les experts américains en sécurité biologique alertaient sur les risques posés par le laboratoire chinois ultra sensible de… Wuhan

06.

Ce que les municipales risquent d’imposer à Emmanuel Macron

07.

Ce laser super puissant développé par Israël pourrait devenir un instrument de paix

01.

La masse d’épargne accumulée par les Français trahit cette contradiction mortifère entre la vraie richesse de ce pays et le sentiment de pauvreté.

02.

Et si l’univers n’avait pas de fin (ni de début)

03.

Les ministres seraient deux fois plus riches sous le quinquennat d’Emmanuel Macron que sous François Hollande

04.

Macron est content, Martinez ronge son frein et Berger engrange les adhésions. Mais la France va mieux ou pas ?

05.

Des déchets nucléaires recyclés permettraient d'obtenir des batteries quasi éternelles

06.

Pourquoi le projet de loi de lutte contre la cyber haine représente une menace aussi grave que la réalité qu’il entend combattre

01.

La France, ni dictature, ni régime autoritaire mais néanmoins une démocratie affaiblie…

02.

Mila menacée de mort et de viol pour avoir critiqué l’Islam : « elle l’a cherché, qu’elle assume » !

03.

Vu dans un manuel d'histoire : "les attentats du 11 septembre ont été orchestrés par la CIA" !

04.

Mais pourquoi la droite semble-t-elle incapable de capitaliser sur le rejet du duel retour Macron / Le Pen ?

05.

69% des Français pensent qu’Emmanuel Macron ne sera pas réélu. Mais quel scénario pourrait empêcher son match retour avec Marine Le Pen ?

06.

Pourquoi l’indépendance de la justice ne signifie pas que les magistrats ne doivent aucun compte aux Français ?

Commentaires (1)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
minilamber
- 30/09/2014 - 09:22
Corrigé de puis le 29/09/14
Bug réglé depuis ce matin…
Sur Lion, Mountain Lion et Mavewick
OS X bash Update 1.0 :
http://support.apple.com/kb/DL1767
http://support.apple.com/kb/DL1768
http://support.apple.com/kb/DL1769?viewlocale=en_US&locale=en_US