La faille Dirty Cow découverte plus tôt cette semaine dans le système Linux semble avoir des effets assez étendus.
Un important bug était découvert début de la semaine dans le système d’exploitation Linux. Cette brèche permet à des pirates de prendre le contrôle d’un serveur ou d’un ordinateur. Le bug a été baptisé ‘Dirty Cow’ et a entre-temps fait l’objet d’un patch. Linux tourne sur un très grand nombre de serveurs web, mais ceux qui intègrent la plus récente version du système d’exploitation, ne seraient pas menacés par la faille. Affaire réglée, pourriez-vous penser, mais même si le bug vient seulement d’être découvert, il semble qu’il existe depuis neuf ans déjà, ce qui a des conséquences bien au-delà du noyau Linux.
Android
Le système d’exploitation mobile de Google est en effet basé sur Linux, et le bug se trouve donc dans la plupart des smartphones utilisés à l’échelle mondiale, à savoir ceux tournant sur Android. Les chercheurs, qui ont découvert la faille, ont entre-temps trouvé des preuves qu’elle a déjà été réellement exploitée par des cybercriminels, et conseillent donc aux fournisseurs de smartphones de sortir un patch dans l’urgence.
Tout cela est dû à la facilité avec laquelle le bug peut être exploité. “Dans le cadre de mon test, l’on a pu accéder à la racine (‘root’, comparable aux droits de l’administrateur, ndlr.) en moins de cinq secondes. C’est effrayant”, écrit Phil Oester, développeur de noyaux Linux, dans un message adressé au site technologique ArsTechnica.
Que faire?
Tout propriétaire d’un téléphone Android, est donc invité à le corriger (patcher). Le hic, c’est qu’il n’existe pas encore de patch. Comme le bug vient seulement d’être découvert et que les conséquences pour le système d’exploitation mobile sont à présent rendues publiques, l’on peut penser que Google prépare une solution. On espère que cette dernière sortira le mois prochain avec une mise à jour sécuritaire.
Malheureusement, les téléphones Android ne s’actualisent pas automatiquement, comme le font les machines Windows par exemple. Le délai de sortie du patch dépend du fabricant, qui s’en tient généralement à son schéma de mises à jour. Il s’agit donc de patienter encore quelque peu. Et d’accorder une attention particulière aux applis non fiables. Pour prendre réellement le contrôle d’un téléphone ou exploiter le bug, le pirate doit en effet d’abord accéder au code du téléphone. Il est donc par exemple possible que des applis utilisent le bug pour se frayer un accès à la racine de l’appareil à des fins d’espionnage ou de vol de données mobiles à l’insu du propriétaire. Mais répétons-le: il faut pour cela que l’appli soit d’abord installée sur l’appareil. Comme toujours, il s’agit donc d’être avant tout très prudent et de ne pas télécharger n’importe quoi…
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici