Comment Ikea a corrigé rapidement la faille Shellshock

A l’occasion du Red Hat Summit, le DSI de Ikea a expliqué comment il avait face à la faille ShellShock. Une défense menée tambour battant en l’espace de 2 heures et demi.

Ikea est connu pour ses meubles, son design, son marketing et sa logistique bien huilée. La DSI du constructeur suédois est aussi bien rôdée, notamment pour faire face aux imprévus. Lors du Red Hat Summit aux Etats-Unis, Magnus Glantz, DSI d’Ikea, est revenu sur un épisode de sécurité qui a mis en émoi les entreprises : la faille ShellShock. Apparue en septembre 2014, il s’agissait d’une vulnérabilité qui touchait l’interpréteur de commande Bash (Bourne again shell) présent dans plusieurs systèmes Linux dont les serveurs web, mais aussi des systèmes d’exploitation comme Mac OS X et les objets connectés.

A l’époque, la plupart des distributions Linux avaient été corrigées rapidement, mais les RSSI avaient oscillé entre pragmatisme et attentisme sur le sujet. Pas Magnus Glantz qui a mené une opération éclair pour corriger cette faille, rapporte nos confrères de Techweek Europe. Il a indiqué devant l’auditoire qu’il a fallu 2 heures et demi pour tester, déployer et mettre à jour l’infrastructure IT du fournisseur de meubles.

Une démarche cohérente comme l’assemblage des meubles

L’enseigne suédoise comprend 3500 serveurs sous Red Hat Entreprise Linux (RHEL) dans le monde. Avec ShellShock, chacun des serveurs nécessitaient une mise à jour pour appliquer le correctif et éviter ainsi le risque d’exploitation de la faille. Dans une mise en scène bien rodée, le DSI a expliqué avoir utilisé une seule ligne de commande Linux, puis a quitté la salle en s’écriant « voilà, merci d’être venu ! ». Rappelé par les applaudissements de la salle, il a précisé sa pensée en soulignant avoir eu une approche cohérente pour cette mise à jour.

Pour bien se faire comprendre, il a utilisé l’image de la fiche technique d’assemblage des meubles Ikea. Il faut les suivre pas à pas. « Une des règles est de ne pas patcher les serveurs de manière aléatoire », admet le dirigeant. Par ailleurs, une des premières étapes dans l’assemblage de l’infrastructure IT est d’avoir un SOE (Standard Operating Environment), un environnement opérationnel standard. Ce SOE liste les plateformes matérielles utilisées, ainsi que les logiciels installés et les distributions Linux associées. A cela s’ajoute une couche de gestion et de configuration du SOE en mode distribué au sein de l’IT d’Ikea. Pour compléter, Magnus Glantz a été prévoyant en définissant un calendrier sur la façon dont Linux sera utilisé chez Ikea pour les 7 prochaines années. « Il ne suffit pas d’avoir la documentation, vous devez comprendre les éléments du système pour savoir comment la technologie fonctionne. »

Pour lui, il est essentiel d’avoir une gestion du système qui maintient les serveurs et les applications à jour sur les dernières versions. En l’absence de ce type de mécanisme, la majorité des systèmes IT seront vulnérables et il sera difficile de les corriger sur des grands volumes. Étant invité par l’éditeur Open Source, Magnus Glantz n’a pas pu s’empêcher de glisser dans la conversation qu’il s’était appuyé sur la solution Network Satellite de Red Hat pour standardiser la gestion des serveurs Linux. Car un des grands dilemmes lors des mises à jour d’un OS est de ne pas perturber les applications. Un problème géré par RHEL qui assure la compatibilité des ABI (Application Binary Interface) lors des updates.

A lire aussi :

Une attaque Shellshock cible les serveurs de mail
Windows à lui aussi droit à sa faille ShellShock

Crédit Photo : Ananchat-Shutterstock