Un nouveau virus fait son trou sur l’Internet. Ce logiciel malveillant, Bashlite, permet à un cybercriminel d’utiliser à distance des ordinateurs infectés pour procéder à des attaques massives sur des sites Internet.

Le procédé n’a rien de nouveau. L’utilisation de botnet (des réseaux d’ordinateurs infectés contrôlés à distance) pour des attaques Ddos (distributed denial of service : l’envoi d’un nombre si important de requêtes informatiques qu’il fait planter un site) ne date pas d’hier.

Mais Bashlite est l’un des premiers virus à exploiter un bug tout neuf qui met la communauté de la sécurité informatique en émoi. Ce logiciel malveillant s’installe sur les ordinateurs grâce à une faille découverte jeudi 25 septembre et qui a été baptisée "Shellshock". Il est en passe de détrôner Heartbleed au panthéon des menaces les plus dangereuses qui pèsent sur l’Internet.

Du jour au lendemain "on a découvert qu’environ 500 millions de serveurs dans le monde étaient potentiellement vulnérables à des attaques informatiques grâce à une faille pour laquelle il n’y avait pas encore de correctif", souligne Loïc Guézo, spécialiste de la cybersécurité pour la société japonaise de sécurité informatique Trend Micro. Le bug, qui vient tout juste d’être découvert, existe depuis au moins 20 ans et affecte le bash, une interface de contrôle des commandes informatiques (comme ces écrans noirs avec des lignes de code qui illustrent souvent les programmes utilisés par les pirates informatiques dans les films hollywoodiens) au cœur de tous les serveurs qui tournent sous les systèmes d’exploitation Linux et Unix (donc potentiellement Mac OS). En revanche, les ordinateurs qui fonctionnent sous Windows sont, pour l’instant, épargnés.

Libre-service pour pirate informatique

Le risque encouru n’est pas mince : "Grâce à ce bug, on peut prendre le contrôle de n’importe quel serveur web et, à partir de là, faire à peu près ce qu’on veut", résume Loïc Guézo. "À peu près ce qu’on veut" comprend : effacer des données, copier des fichiers, exécuter n’importe quelle commande sur l’ordinateur ciblé, etc. Ce bug, facile à exploiter, transforme une machine vulnérable en libre-service pour pirate informatique

Surtout, les objets connectés pourraient être également exposés. Un grand nombre d’entre eux fonctionnent sous Linux ou Unix. Mais encore faut-il qu’ils soient suffisamment puissants pour être équipés de bash. C’est-à-dire que les petits objets, tels que les capteurs de fumée intelligents ou les bracelets de contrôle cardiaque, ne sont probablement pas concernés. "Mais qu’en est-il des ascenseurs ou des télévisions connectées ?", s’interroge Loïc Guezo.

Enfin, le risque provient aussi de la difficulté à se protéger. Les correctifs commencent à peine à être distribués et ils ne sont pas encore complets. Il faut, en outre, "faire attention en l’installant car le bash est tellement imbriqué avec tout le système des serveurs que le risque existe d’endommager d’autres parties de la machine en corrigeant le bug", prévient Loïc Guezo.