Bash : la faille de sécurité très critique qui touche Android, Linux, et OS X

Date de dernière mise à jour : le 10 avril 2016 à 18 h 57 min

Si les failles de sécurité sont nombreuses au sein de nos systèmes d’exploitation, certaines sont moins dangereuses que d’autres. Mais la dernière en date découverte ce matin et qui touche à la fois Android, Linux, et OS X est ce qu’on peut appeler une faille critique puisque qu’elle affecte le Bash, système de shell le plus répandu sur ces trois OS.

Découverte par un français du nom de Stéphane Chazelas, la faille en question est présente sur la quasi-totalité des versions de Bash et permet au hacker, une fois exploitée, d’exécuter diverses commandes à distance.

faille sécurité

critique qui touche Android, Linux, et OS X.

Moins dangereuse que HeartBleed du fait que celle-ci ne pourra pas octroyer au hacker plus de privilèges qu’à l’utilisateur, cette faille de sécurité qui touche aujourd’hui Android, Linux, et OS X n’en reste pas moins redoutablement inquiétante du fait du nombre d’OS et d’appareil concernés.

En termes simples, si Bash a été configuré comme shell du système par défaut, alors, il sera tout à fait possible, pour un hacker, de lancer un code malveillant sur le serveur à partir d’une simple requête web. Elle peut donc affecter un nombre important de serveurs et être exploitée dans de nombreux contextes, à commencer par une requête web ou tout simplement à travers une application exécutant des scripts bash.

Pour vérifier si vous êtes concernés par cette faille, il vous suffit de saisir les deux lignes de commandes suivantes sur votre appareil :

env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed"
env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"

Si votre machine affiche successivement « shellshock » et « completed », comme sur l’image ci-dessous, cela signifie alors qu’elle est vulnérable.

Comment tester sur Android

Pour tester si votre Android est affecté par cette faille, il vous suffit de télécharger et d’exécuter l’application Terminal IDE, disponible gratuitement dans le Play Store, en cliquant sur le lien ci-dessous.

Alertés par cette faille, plusieurs éditeurs de systèmes d’exploitation ont déjà commencé à déployer des patchs de sécurité :

   Suivez nous sur Facebook   


Vous aimerez peut être


Réagir à cet article

  • hauru

    Hey phonandroid, apprenez à taper  »  » et non « » pour que les lecteurs puissent essayer les commandes sans erreurs de syntaxe x)

  • Odrade

    pfff… La bonne commande c’est :
    env x='() { :;}; echo vulnerable’ bash -c « echo this is a test »
    qui renvoie :
    vulnerable
    this is a test
    si votre machine est vulnérable !
    La votre renvoie : -bash: syntax error near unexpected token `(‘

    • hauru

      J’avais posté la bonne syntaxe mais ils n’aiment pas que l’ont se moquent d’eux :/

      • la méthode était bonne mais wordpress a mal formaté les symboles j’ai inclus le code dans une balise code pour qui ne reformate pas les lignes de commandes ! donc c’est pas une erreur de rédacteur :)

    • pierre

      la méthode dans l’article fonctionne très bien ! et renvoie bien la même réponse que l’article en image mais tu te dois te sentir meilleur avec ta commande bis

  • poupon

    et on les saisis comment ?

    • bzbdr

      Dans un terminal.

  • Kris

    Si on a shellshock » et « completed sa veux dire que on est infecté ?

  • Laura

    Effectivement la méthode de Odrade est la bonne merci :) Et euh par contre lorsque l’on a « vulnerable » et « this is a test » que faut-il faire ?

    • midi

      t’est vulnerable :( j’ai le meme resultat sur OS X!

  • jedafinal

    d’accord et comment on comble la faille android ?

    • raziel

      je cherche également le moyens de le patcher, sur xda, bluebox, xposed, a un moment donnée il va y avoir une solution je pense (j’espère…)

  • Romain Dijoux

    Mon Pc sous ubuntu n’est pas vulnérable (merci canonical) mais mon oneplus one l’est!!

  • je t’ai répondu sur ton autre message pour t’expliquer pourquoi !

  • lanner

    env not found <<< que ça me dis ..

  • Valentin Maret

    mon mac est vulnérable sous OS X Mavericks 10.9.5

    • Guest

      Idem

  • Aurelien

    Malgré la faille, voilà ce que j’aime dans le monde de Linux: la réactivité! Découverte ce matin, et déjà patché ce soir! Vive le libre et vive sa communauté!
    PS: bravo à notre compatriote francais qui a permis de découvrir la faille également!

  • Yop

    Le titre de l’article devrait être changé car a priori Android n’est pas vulnérable.
    il n’utilise pas bash mais mksh, un dérivé de ksh (ls -l /system/bin/sh)

  • naznaznaz

    Arrêter de vous enflammer pour rien, depuis quand les applications on accès au shell ? Faut être rooter, et au final sur un tel rooté tu exécute direct la commande que tu veux vu que tu demande l’accès root, c’est uniquement valable pour les serveurs avec du cgi ou autre, tu fais pas un reverse shell sans serveur en face tsss