Yahoo : imbroglio autour de la faille Shellshock

Le piratage dont Yahoo vient d’être victime a-t-il un lien avec la faille Shellshock ? Le doute subsiste vu la communication confuse du groupe Internet américain.

L’attaque en question s’est déroulée au cours des deux dernières semaines. Elle a engendré des accès non autorisés sur plusieurs serveurs, associés notamment au service Yahoo Sports si l’on en croit les adresses IP relevées par Future South Technologies. La firme high-tech spécialisée dans le consulting réseaux/télécoms ajoute que le portail – et moteur de recherche – Lycos aurait subi le même type d’assaut, tout comme le site hébergeant l’outil de compression WinZip.

De son côté, Yahoo maintient depuis ce lundi que les données personnelles de ses utilisateurs n’ont pas été affectées. Mais les propos sur la faille en elle-même sont beaucoup plus nébuleux. Directeur de la sécurité du système d’information, Alex Stamos avait d’abord évoqué la piste Shellshock… avant de retourner sa veste dans une contribution blog faisant suite à un « examen approfondi » de la situation. Il estime que les pirates se sont en fait appuyés sur une vulnérabilité présente dans un script de débogage mis provisoirement en place par Yahoo. Et d’ajouter qu’il s’agit bien d’un incident « isolé ».

Les experts en sécurité restent d’autant plus dubitatifs que la société Internet de Marissa Mayer ne communique pas sur le nombre exact de serveurs touchés. Future South Technologies reste même sur sa position : le vecteur d’attaque serait plus précisément une variante de Shellshock telle celle qui a été récemment utilisée contre Apple.

Pour rappel, cette faille a été rendue publique le 24 septembre après sa découverte, une semaine plus tôt, par Stéphane Chazelas (expert Unix/Linux). Répertoriée CVE-2014-6271, elle affecte l’environnement console Bash (« Bourne-again shell »), utilisé par défaut sur la plupart des systèmes Unix – dont Apple OS X – et de nombreuses distributions Linux.

Le point faible se situe au niveau du traitement des variables d’environnement et de leur transmission à des processus fils (appelés par le shell). Bash interprète d’abord le nom et la valeur de la variable, puis analyse la fonction éventuellement définie par la chaîne « () { » . Mais il ne s’arrête pas après le point-virgule qui marque normalement la fin de cette définition de fonction : il exécute le code qui suit… y compris s’il est malveillant.

Premières cibles : les serveurs Web et leurs applications qui appellent des commandes shell par HTTP ou via des scripts CGI (« Command-Gateway Interface ») en permettant à l’utilisateur d’insérer lui-même des données.

Yahoo

Image 1 of 16

Yahoo : la saga d'un groupe Internet pionnier

Tout commence en 1994 avec le Jerry's Guide to the World Wide Web, une base de données qui sert de fondement à l'annuaire Yahoo (Yet Another Hierarchical Officious Oracle) qui émerge en 1995.