Le « bug Bash » est une source d'inquiétude, mais ne représente pas une menace pour les services Bitcoin.

De nombreuses inquiétudes en matière de sécurité ont été exprimées hier après la À découvrir d'une ancienne faille susceptible d'affecter les serveurs Web et les appareils connectés à Internet. Cependant, de nombreux acteurs du secteur affirment qu'elle ne présente aucune menace immédiate pour les services Bitcoin .

La vulnérabilité, surnommée « Bash Bug » ou « Shellshock Bug », permettrait un accès malveillant au système d'exploitation d'un appareil basé sur UNIX via le shell de ligne de commande, dont le plus utilisé estfrapper.

Les systèmes basés sur UNIX incluent MacOS, les versions Linux (bureau et serveur), les plates-formes mobiles populaires et les systèmes embarqués sur d'autres appareils qui communiquent en ligne.

CNET signalécet expert en sécurité Robert Graham,décritc'est "aussi important queHeartbleed« – la faille OpenSSL découverte en avril – étant donné « l’énorme pourcentage de logiciels qui interagissent avec le shell ».

« Trop médiatisé »

Jeff Garzik

, développeur CORE de Bitcoin et désormais ingénieur logiciel senior chez BitPay, a toutefois déclaré qu'il n'y avait aucun danger clair et présent pour les utilisateurs de Bitcoin .

« Prédiction : le bug de bash n'est PAS une menace plus grande que heartbleed », a-t-il déclaré.publiésur un fil Reddit.

Garzik a déclaré à CoinDesk que, même si le bug récemment découvert avait le potentiel d'être mauvais, « la plupart des services en ligne utilisant Bitcoin sont bien plus sécurisés que votre routeur domestique moyen ».

Il a ajouté que le bug Bash aurait un impact principalement sur les sites non Bitcoin et qu'il était surfait.

« Cela nécessite des conditions particulières pour être exploitable, et les routeurs domestiques et les anciens serveurs web Apache étaient déjà de toute façon un gruyère. Je pense que l'impact pratique sera bien moindre que ce que les médias grand public prétendent. »

Bitcoin , une cible ?

À ce stade, aucun signalement d'exploitation du bug Bash affectant les services liés au bitcoin n'a été signalé. Alors pourquoi s'en soucier ?

Les services Bitcoin peuvent potentiellement être une cible plus attrayante pour les pirates et les voleurs que les services plus établis basés sur la monnaie fiduciaire comme les services bancaires en ligne et PayPal.

Il y a deux raisons historiques à cela : une mauvaise mise en œuvre de la sécurité dans certains services Bitcoin en ligne à un stade précoce et la réticence des autorités à enquêter sur les crimes liés aux monnaies numériques ou à les punir, à moins qu'elles ne soupçonnent que des drogues ou du blanchiment d'argent sont impliqués.

Il est donc préférable d’être au moins conscient des problèmes potentiels auxquels les développeurs et les services peuvent être confrontés.

Le point de vue d' un échange

Yan Chuan ou « YC », directeur technique de l'échangeBitBays.com, a déclaré que le bug était « relativement facile à utiliser pour les pirates informatiques » et a recommandé à tous les utilisateurs d'appliquer un correctif, de sauvegarder les journaux et de vérifier les systèmes pour voir si une attaque avait eu lieu.

Étant donné que le bug permettait aux pirates informatiques malveillants d'accéder pleinement à un système d'exploitation, il existait un potentiel pour tout type d'attaque, du vol de portefeuilles Bitcoin à l'installation d'enregistreurs de frappe et de portes dérobées.

YC a déclaré que le Bitcoin lui-même ne serait pas affecté en raison de sa structure décentralisée.

Cependant, en tant que fournisseur centralisé de services d'échange ou de portefeuille, il est possible d'être affecté par le bug Bash. En raison de cette vulnérabilité, les serveurs SSH, HTTP, FTP et autres serveurs d'applications ouverts risquent d'être consultés et contrôlés à distance par un pirate informatique.

Windows n'étant pas basé sur UNIX, les utilisateurs de bureau ne seraient pas concernés. La plateforme BitBays est prête, a ajouté YC, mais les utilisateurs d'autres plateformes pourraient s'informer auprès de leur plateforme d'échange ou de portefeuille en cas de doute.

Coquille fissurée

La vulnérabilité Bash Bug provient d'une grave faille de sécurité qui existe dans la commande bash (Bourne Again SHell) 'env'. Cela affecte le shell local, ainsi que SSH, FTP, HTTP et d'autres services importants.

YC a expliqué comment le bug pourrait être exploité, en disant que de nombreux serveurs Web envoient les informations de Request HTTP de l'utilisateur (REMOTE_HOST), REQUEST_METHOD, QUERY-STRING, ETC) stockées dans une variable d'environnement, au framework Web backend ou aux scripts CGI.

Si ces informations contiennent des instructions malveillantes, la prochaine fois que le serveur exécutera bash, il exécutera ces instructions. Le serveur est alors compromis.

À l’heure actuelle, les frameworks populaires Apache + PHP et Nginx + wsgi sont vulnérables.

Pas de solution QUICK

Selon Red Hat, qui a publié son propre avis de sécurité, de nombreux programmes accèdent au shell bash en arrière-plan. Plusieurs distributions Linux ont déjà publié des correctifs, notamment Red Hat Enterprise Linux, Debian, Ubuntu et CentOS.

Ce bug, qui existait déjà depuis plus de 25 ans avant la publication de l'information d'aujourd'hui, pourrait affecter des millions d'appareils et nécessiter des correctifs pour les appareils beaucoup plus anciens. C'est le nombre d'appareils nécessitant un correctif, plutôt que la complexité de la faille ou les exploits connus, qui inquiète certains experts.

Image de bogue viaShutterstock