La dernière semaine aura pour le moins été très houleuse pour Apple. Après le supposé « Bendgate » et la piètre qualité de la rustine 8.0.1 d’iOS, voilà que plusieurs sites rapportent qu’une faille de sécurité majeure a été découverte dans les systèmes d’exploitation à base UNIX, dont Linux et OS X.

À la base de cette faille, on retrouve l’utilitaire Bash, le logiciel d’invite de commandes utilisé par ces systèmes d’exploitation. En d’autres termes, cette faille affecte l’utilitaire Terminal qu’on retrouve dans OS X.

La portée de ladite faille est énorme, car UNIX est non seulement utilisée à la base de Linux et OS X, mais également dans bon nombre d’ordinateurs et dispositifs tels que les serveurs, disques durs NAS, etc. Dans les faits, plusieurs périphériques se connectant à l’internet ont une version de UNIX comme système d’exploitation embarqué. Plusieurs experts comparent la portée de cette faille à celle de la faille Heartbleed qui affectait environ 67% des sites web selon certaines données.

La faille, baptisée Shellshock, est majeure, car elle permet aux utilisateurs malveillants d’exécuter des commandes par l’intermédiaire de l’invite de commande Bash. Cela veut dire qu’un utilisateur peut prendre le contrôle d’un ordinateur ou un périphérique en exploitant cette faille et  y lancer ensuite diverses commandes qui mettent péril toutes les données contenues sur ce dernier.

Pour savoir si votre ordinateur Mac est affecté par cette faille, effectuez le test suivant:

1- Lancez l’application Terminal (/Applications/Utilities/Terminal)

2- Dans la fenêtre terminal qui s’ouvre, copier et collez cette commande: env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’

3- Si le mot vulnerable est inscrit à l’écran comme dans l’exemple ci-bas, alors votre ordinateur est vulnérable à la faille. Sinon, votre ordinateur n’est pas vulnérable.

Apple appelle au calme

Cela étant dit, Apple est au courant de l’existence de cette faille et travaille présentement à corriger le problème. On doit donc s’attendre à recevoir une mise à jour pour les versions d’OS X affectées dans les prochains jours ou les prochaines semaines.

Apple a également mentionné que cette faille n’affecte qu’une minorité d’utilisateurs d’OS X. Un porte-parole de la compagnie aurait confié au site iMore qu’OS X ne permet pas l’exécution de commandes externes via Bash à moins de configurer son ordinateur pour qu’il « accepte » ces commandes. Donc, seuls des usagers experts en Bash pourraient être affectés.

« The vast majority of OS X users are not at risk to recently reported bash vulnerabilities, » an Apple spokesperson told iMore. « Bash, a UNIX command shell and language included in OS X, has a weakness that could allow unauthorized users to remotely gain control of vulnerable systems. With OS X, systems are safe by default and not exposed to remote exploits of bash unless users configure advanced UNIX services. We are working to quickly provide a software update for our advanced UNIX users. »

Il reste maintenant à voir quelles autres compagnies utilisant UNIX et Bash dans leurs systèmes d’exploitation, embarqués ou non, devront également offrir des mises à jour à leurs utilisateurs.