Un gros trou de sécurité dans Linux pourrait ternir la fin d'année des administrateurs systèmes. En effet, une faille baptisée Grinch, d'après le personnage grognon et farceur de la série Dr Seuss, affecterait tous les systèmes Linux et pourrait offrir un accès racine facile à des pirates, comme l'a révélé hier dans un billet le fournisseur de services de sécurité Alert Logic. Selon l'entreprise de sécurité, la vulnérabilité Grinch pourrait être aussi sérieuse que la faille Shellshock qui a touché l'interpréteur bash de GNU/Linux et perturbé l'Internet en septembre dernier. C'est l'histoire que Alert Logic avait commencé à vendre mardi dernier, mais depuis Red Hat est venu apporter un contre-point. Il ne s'agit pas d'un bug mais d'une fonctionnalité de base du système.
Le défaut fondamental réside dans la façon dont Linux gère les autorisations, puisque le système peut « involontairement » permettre une escalade de privilège et octroyer des droits « root », voire un accès administrateur complet, à un utilisateur. Avec un accès complet à la racine, un attaquant pourrait prendre le contrôle total du système, installer des programmes, voir les données et utiliser la machine comme base d'attaque pour compromettre d'autres systèmes. « À ce jour, Alert Logic n'a pas détecté d'attaque qui exploiterait cette vulnérabilité et son équipe de chercheurs n'a trouvé aucune mention de ce trou dans la base de données des vulnérabilités tenue à jour par l'équipe communautaire d'intervention d'urgence (Community Emergency Response Team - CERT) », comme l'a indiqué Stephen Coty, directeur en charge de la recherche sur les menaces chez Alert Logic.
Un problème lié à l'architecture du noyau Linux
Cette vulnérabilité pourrait concerner tous les systèmes Linux, y compris les versions tournant sur des services cloud comme ceux d'Amazon et de Microsoft. Selon une estimation de W3Techs, environ 65 % des serveurs du réseau Internet tournent avec un système d'exploitation basé sur Unix/Linux. La faille pourrait également affecter les téléphones Android, dont le système est basé sur le noyau Linux. Pour contrôler l'accès administrateur, Linux conserve une liste de tous les utilisateurs enregistrés sur une machine dans un groupe généralement appelé « wheel ». Ces « admin » peuvent bénéficier d'un accès complet à la racine (avec la commande sudo sous Unix). Un attaquant averti pourrait s'octroyer un accès root total en modifiant le groupe, soit directement, soit en passant par un programme parent comme l'interface graphique de Polkit pour modifier les permissions », a expliqué Alert Logic.
L'entreprise de sécurité a averti Red Hat, qui est chargé de la maintenance de Polkit et Red Hat a initié un ticket d'incident sur la question. Cependant, Stephen Coty pense que le problème est fondamentalement lié à l'architecture du noyau Linux et il estime que l'équipe de développement du kernel Linux devrait livrer le correctif définitif. « Il n'existe actuellement aucun patch pour corriger la vulnérabilité, mais il est possible de prendre des mesures préventives pour se prémunir contre d'éventuelles attaques basées sur Grinch » a déclaré Alert Logic. « Il faudrait par exemple contrôler l'usage des logiciels pour surveiller les actions des utilisateurs et pister tout comportement inhabituel. Les entreprises peuvent également reparamétrer les règles d'administration pour limiter les opérations répondant aux commandes sudo ».