Pour gérer vos consentements :
Categories: Cloud

Yahoo : imbroglio autour de la faille Shellshock

Le piratage dont Yahoo vient d’être victime a-t-il un lien avec la faille Shellshock ? Le doute subsiste vu la communication confuse du groupe Internet américain.

L’attaque en question s’est déroulée au cours des deux dernières semaines. Elle a engendré des accès non autorisés sur plusieurs serveurs, associés notamment au service Yahoo Sports si l’on en croit les adresses IP relevées par Future South Technologies. La firme high-tech spécialisée dans le consulting réseaux/télécoms ajoute que le portail – et moteur de recherche – Lycos aurait subi le même type d’assaut, tout comme le site hébergeant l’outil de compression WinZip.

De son côté, Yahoo maintient depuis ce lundi que les données personnelles de ses utilisateurs n’ont pas été affectées. Mais les propos sur la faille en elle-même sont beaucoup plus nébuleux. Directeur de la sécurité du système d’information, Alex Stamos avait d’abord évoqué la piste Shellshock… avant de retourner sa veste dans une contribution blog faisant suite à un « examen approfondi » de la situation. Il estime que les pirates se sont en fait appuyés sur une vulnérabilité présente dans un script de débogage mis provisoirement en place par Yahoo. Et d’ajouter qu’il s’agit bien d’un incident « isolé ».

Les experts en sécurité restent d’autant plus dubitatifs que la société Internet de Marissa Mayer ne communique pas sur le nombre exact de serveurs touchés. Future South Technologies reste même sur sa position : le vecteur d’attaque serait plus précisément une variante de Shellshock telle celle qui a été récemment utilisée contre Apple.

Pour rappel, cette faille a été rendue publique le 24 septembre après sa découverte, une semaine plus tôt, par Stéphane Chazelas (expert Unix/Linux). Répertoriée CVE-2014-6271, elle affecte l’environnement console Bash (« Bourne-again shell »), utilisé par défaut sur la plupart des systèmes Unix – dont Apple OS X – et de nombreuses distributions Linux.

Le point faible se situe au niveau du traitement des variables d’environnement et de leur transmission à des processus fils (appelés par le shell). Bash interprète d’abord le nom et la valeur de la variable, puis analyse la fonction éventuellement définie par la chaîne « () { » . Mais il ne s’arrête pas après le point-virgule qui marque normalement la fin de cette définition de fonction : il exécute le code qui suit… y compris s’il est malveillant.

Premières cibles : les serveurs Web et leurs applications qui appellent des commandes shell par HTTP ou via des scripts CGI (« Command-Gateway Interface ») en permettant à l’utilisateur d’insérer lui-même des données.

Yahoo

Image 1 of 16

Yahoo : la saga d'un groupe Internet pionnier
Tout commence en 1994 avec le Jerry's Guide to the World Wide Web, une base de données qui sert de fondement à l'annuaire Yahoo (Yet Another Hierarchical Officious Oracle) qui émerge en 1995.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de Yahoo! ?

Crédit photo : Sergey Nivens – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago