Une faille zero day a été découverte dans le gestionnaire d’amorçage Grub2. La protection d’accès par mot de passe est en effet un buggée. Il suffit de presser 28 fois d’affilée sur la touche ‘retour arrière’ du clavier pour passer au travers de cette phase d’authentification, puis accéder à la console de récupération de Grub.
Une partie des médias s’est émue de cette faille, qui permettrait de prendre très aisément le contrôle de toute machine Linux. Des précisions s’imposent à ce sujet. Tout d’abord, c’est le mot de passe du chargeur de démarrage de la machine qui est impacté, pas le système d’authentification des OS qu’il lance, que ce soit Linux ou Windows.
Le fait d’accéder à la console de récupération reste ennuyeux, car cela permet par exemple de lancer Linux en mode de secours, et d’accéder ainsi à la plupart de ses données (celles qui sont chiffrées devraient toutefois rester à l’abri des regards indiscrets).
Mais il convient de signaler que la personne qui a accès à la console de démarrage d’un PC ou d’un serveur peut de toute façon en général charger un OS tiers depuis un périphérique externe (clé USB, CD ou réseau) et obtenir les mêmes possibilités de contrôle sur la machine.
Cette faille de Grub2 sera donc en général peu importante du point de vue de la sécurité globale de la machine. Elle reste toutefois ennuyeuse, car elle peut donner un faux sentiment de sécurité. Un correctif a donc été rapidement proposé, et diffusé sur les OS Linux les plus courants.
À lire aussi, notre dossier programmation Raspberry Pi :
Raspberry Pi et développement : Apprendre à programmer (épisode 1)
Raspberry Pi et développement : Java SE, first class citizen (épisode 2)
Raspberry Pi et développement : C/C++ à toutes les sauces (épisode 3)
Raspberry Pi et développement : du calcul au Big Data (épisode 4)
Raspberry Pi et développement : .NET, avec ou sans Windows (épisode 5)
Raspberry Pi et développement : un RAD nommé Xojo (épisode 6)
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
Le Premier ministre a précisé les usages de l'IA dans les services de l'administration et…
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…