Il y a quelques mois à peine, le Web bourdonnait à propos de la vulnérabilité Heartbleed. Il y a maintenant une nouvelle faille de sécurité en ville - elle s’appelle Shellshock.
"Bash Shell Shock", comme on l'appelle aussi, a été découvert et rapporté par le chercheur en sécurité française Stéphane Chazelas plus tôt ce mois-ci. La source de la vulnérabilité existait depuis plus de deux décennies, mais n’a été découverte que récemment.
$config[code] not foundLe bogue Shellshock devait être divulgué discrètement et publiquement afin que les logiciels et les autres sociétés puissent le corriger. Cependant, comme ces choses-là vont généralement, les pirates informatiques se sont immédiatement empressés de voir jusqu'où ils pourraient l'exploiter. À compter du jeudi 25 septembre 2014, des pirates informatiques ont commencé à attaquer des sites Web pour déterminer s'ils étaient vulnérables.
Voici quelques questions et réponses pour les propriétaires de petites entreprises sur la manière dont Shellshock peut affecter ou non votre entreprise:
Qui ou qu'est-ce que Shellshock affecte?
Shellshock concerne principalement les ordinateurs Linux ou UNIX connectés au Web. Il s'agit d'une vulnérabilité présente dans de nombreux serveurs informatiques connectés à Internet - serveurs hébergeant des sites Web, des e-mails, des applications logicielles cloud ou des réseaux.
Toutefois …
La portée ultime du bogue Shellshock est difficile à cerner complètement. C’est parce que le World Wide Web est tellement interconnecté. Oui, les pirates peuvent cibler des serveurs Web vulnérables. Mais cela ne s’arrête pas là.
Si un site Web ou un réseau est «infecté» à la suite de Shellshock, il s’agit bien sûr d’une mauvaise nouvelle pour le site Web ou le réseau. Mais même pour les visiteurs d'un site Web infecté, cela pourrait toujours avoir des répercussions à long terme. C’est parce que les ordinateurs et les périphériques individuels peuvent être infectés à la suite de la visite de sites infectés. Cependant, un bon logiciel de sécurité Internet / Internet devrait protéger la plupart des utilisateurs d’ordinateurs individuels.
$config[code] not foundPour la plupart des petites entreprises, cependant, la principale préoccupation est de savoir comment protéger votre site Web et / ou votre réseau contre Shellshock.
Comment les sites Web sont-ils exposés à Shellshock?
L'exposition principale concerne les ordinateurs Linux et UNIX utilisant un type de logiciel appelé Bash. Selon Incapsula, un service de sécurité Web:
«Une grande partie du risque associé à Shellshock provient du fait que Bash est largement utilisé par de nombreux serveurs Linux et UNIX. Cette vulnérabilité permet potentiellement à des attaquants non authentifiés d'exécuter du code à distance sur ces machines, ce qui permet le vol de données, l'injection de logiciels malveillants et le piratage de serveur.
Aussi dangereux que cela puisse paraître, Shellshock peut être contenu. "
Service de sécurité Sucuri ajoute toutefois que vous ne devez pas faire preuve de complaisance simplement parce que votre site Web ne se trouve pas sur un serveur Linux ou UNIX.
Shellshock peut affecter les serveurs Web qui utilisent certaines fonctions de cPanel. cPanel est un tableau de bord d'arrière-plan populaire utilisé par de nombreux sites Web de petites entreprises pour gérer leurs serveurs et leurs sites Web. La bonne nouvelle, si vous pouvez l'appeler ainsi, est que Shellshock n'affecte pas tous les sites Web utilisant cPanel. Cela n'affecte que ceux qui utilisent quelque chose appelé mod_cgi (mais apparemment, mod_cgi peut être présent même si vous ne le connaissez pas). Voir les détails techniques sur le blog Sucuri.
Qu'advient-il d'un serveur Web qui est compromis?
Si les pirates pénètrent dans un serveur vulnérable en exploitant le bogue Shellshock, ils peuvent causer le type de ravage qu'ils commettent habituellement dans le jardin:
- voler des données,
- infecter des sites Web avec des logiciels malveillants,
- arrêter les réseaux, et
- exploiter des machines dans des armées de réseaux de zombies pour lancer des attaques sur d'autres sites ou ordinateurs.
Que fait-on de Shellshock?
Heureusement, les grands fournisseurs de logiciels, les hébergeurs de sites Web, les fournisseurs de pare-feu et les services de sécurité en ligne s'y trouvent. Ils émettent des correctifs logiciels, recherchent des vulnérabilités et / ou renforcent leurs systèmes.
Selon le Wall Street Journal, Amazon et Google se sont précipités pour réagir au bogue Shellshock:
«Google a pris des mesures pour résoudre le problème qui concerne ses serveurs internes et ses services de cloud computing, a déclaré une personne familiarisée avec le sujet. Amazon a publié jeudi un bulletin indiquant aux clients d'Amazon Web Services comment atténuer le problème. "
Amazon Web Services a publié un article de blog sur le sujet pour ses clients qui utilisent sa division de services Web, par exemple pour l'hébergement de leurs sites ou l'exécution d'applications. Amazon applique des correctifs et redémarrera environ 10% de ses serveurs au cours de la semaine à venir, ce qui entraînera «quelques minutes» d'interruption. Le post complet d'Amazon est ici. Remarque: cela n'affecte pas le site de commerce électronique grand public Amazon sur lequel des millions de personnes font leurs achats. Cela concerne uniquement les entreprises qui utilisent Amazon Web Services.
Comment protéger le site Web de mon entreprise?
En pratique, vous courez plus de risques si votre site Web est hébergé sur votre propre serveur ou si vous êtes responsable de la gestion de votre propre hébergement ou de vos serveurs réseau. C’est parce que votre équipe interne a la responsabilité principale dans ces circonstances de vérifier et de corriger les logiciels serveur.
Si vous n’êtes pas sûr de votre situation d’hébergement, commencez par consulter votre équipe technique. Demandez comment ils abordent le problème.
Si vous êtes un bricoleur ou si vous ne disposez pas du support technique disponible pour vous aider, voici trois manières de vérifier votre site Web et / ou de le protéger:
1. Si vous utilisez une société d’hébergement externe, consultez votre hôte pour savoir comment elle gère Shellshock.
La plupart des grandes entreprises d'hébergement professionnelles ont mis en place ou sont en train de mettre en place des correctifs pour les serveurs concernés.
À ce jour, ils ont peut-être même posté quelque chose sur leurs blogs, leurs flux Twitter ou leurs forums d'assistance. Par exemple, voici la mise à jour de BlueHost sur Shellshock.
2. Un autre moyen de protéger votre site Web consiste à utiliser un service de pare-feu / de sécurité d’application Web («WAF») avec votre site Web.
Ces services agissent comme un mur pour empêcher les pirates, les robots malveillants et tout autre trafic malveillant de votre site. Mais ils laissent entrer un trafic qui ne semble pas constituer une menace.
Pour le visiteur ou l'utilisateur final, un pare-feu Web est invisible. Mais cela protège votre site Web de nombreuses vulnérabilités et attaques. (Et vous serez peut-être choqué d'apprendre à quel point le trafic sur votre site est touché par un trafic important - vous ne le saurez peut-être pas tant que vous n'aurez pas mis en place un pare-feu le surveillant.)
Aujourd'hui, ces services de pare-feu Web sont abordables et faciles à mettre en œuvre. Les prix commencent à 10 $ par mois sur le bas de gamme. Sur le haut de gamme, ils vont de plusieurs centaines de dollars, pour les grands sites et plateformes populaires. Mais ils en valent la peine pour la tranquillité d'esprit. La plupart sont des services en nuage, ce qui signifie qu’il n’ya aucun matériel à installer. Vous achetez en ligne, modifiez certains paramètres et votre site est protégé. Beaucoup vous donnent des analyses pour vous montrer le volume de mauvaises activités exclues de votre site.
Certains services de pare-feu Web incluent Incapsula, Cloudflare, Barracuda et Sucuri Firewall. Cependant, assurez-vous que si vous utilisez un fournisseur de sécurité, c'est le service de pare-feu que vous utilisez. De nombreux CDN et services de sécurité offrent différents produits ou niveaux de service. Tous ne sont pas des pare-feu Web ou des pare-feu WAF.
Et tous les pare-feu WAF ne sont pas égaux. Certains font un meilleur travail que d'autres. Alors, lisez les commentaires et faites votre recherche lors du choix.
3. Testez votre domaine pour la vulnérabilité.
Ce scanner peut aider:
Qu'en est-il des sites Web visités - mon personnel ou moi-même pouvons-nous être infectés simplement en surfant en ligne?
Les utilisateurs individuels - y compris vos employés - devront se préoccuper de la protection contre les effets résiduels d'un site Web, d'une application Web ou d'un réseau compromis.
Par exemple, supposons qu'un site Web finisse par être infecté par des logiciels malveillants à la suite de Shellshock. Dans cette situation, les visiteurs du site Web infecté pourraient être exposés à des logiciels malveillants tels que des virus. En d'autres termes, même si votre ordinateur n'est pas directement vulnérable à Shellshock, vous pouvez toujours «attraper un virus» à partir d'un site Web compromis.
Cela va sans dire, il est essentiel de vous assurer que vous avez installé et mis à jour régulièrement les logiciels antivirus / de sécurité Internet sur des ordinateurs individuels.
Plus de ressources sur Shellshock
Regardez cette vidéo sur YouTube expliquant Shellshock. C’est une bonne explication en 4 minutes environ:
Image de pirate informatique via Shutterstock
6 commentaires ▼
