Les vieilles failles de sécurité faciles à exploiter ont la vie dure. Il y a toujours quelque part un système qui n’a pas été corrigé. La faille Shellshock en est un vivant exemple. Deux ans après la découverte de cette vulnérabilité zero day touchant l’interpréteur de commandes Bash, force est de constater que la brèche est loin d’être complètement bouchée. Selon IBM, l’orifice est même encore assez béant.
L’essentiel (70 %) des attaques venaient des Etats-Unis et d’Australie (18 %). Elles visaient des organisations installées en Amérique du Nord (pour 26 %), au Japon (18 %) en Inde (16 %) et au Brésil (11 %). Même si les attaques Shellshock ont sérieusement décliné à partir d’octobre 2015, la vulnérabilité référencée CVE-2014-6271 reste vivace. Sur l’ensemble de l’année 2016, IBM évalue le nombre d’attaques liées à la faille à 7 900 par mois en moyenne. Les premières à en faire les frais sont les entreprises du secteur IT (à hauteur de 46 %), y compris les opérateurs télécoms, suivies des services financiers (26 %), des industries de fabrication (16 %), de la santé (6 %) et du commerce (5 %).
Rappelons que GNU Bash est un outil largement utilisé par les administrateurs systèmes pour gérer les environnements Unix, Linux, Solaris ainsi que Mac OS X. Autant d’environnements informatiques déployés dans des environnements professionnels pointus où les mises à jour systèmes ne sont pas toujours triviales en raison de contraintes de production et du besoin de stabilité. Des contraintes dont profitent les cybercriminels, qui trouvent là des cibles facilement accessibles.
Lire également
Faille Shell Shock : Les RSSI oscillent entre pragmatisme et attentisme
Faille Shellshock dans Bash : pourquoi la tempête est loin d’être terminée
Comment Ikea a corrigé rapidement la faille Shellshock
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…