Grub : un bug zero day et zero impact défraie la chronique

Une faille zero day a été découverte dans le gestionnaire d’amorçage Grub2. La protection d’accès par mot de passe est en effet un buggée. Il suffit de presser 28 fois d’affilée sur la touche ‘retour arrière’ du clavier pour passer au travers de cette phase d’authentification, puis accéder à la console de récupération de Grub.

Une partie des médias s’est émue de cette faille, qui permettrait de prendre très aisément le contrôle de toute machine Linux. Des précisions s’imposent à ce sujet. Tout d’abord, c’est le mot de passe du chargeur de démarrage de la machine qui est impacté, pas le système d’authentification des OS qu’il lance, que ce soit Linux ou Windows.

Le problème, c’est surtout l’accès physique

Le fait d’accéder à la console de récupération reste ennuyeux, car cela permet par exemple de lancer Linux en mode de secours, et d’accéder ainsi à la plupart de ses données (celles qui sont chiffrées devraient toutefois rester à l’abri des regards indiscrets).

Mais il convient de signaler que la personne qui a accès à la console de démarrage d’un PC ou d’un serveur peut de toute façon en général charger un OS tiers depuis un périphérique externe (clé USB, CD ou réseau) et obtenir les mêmes possibilités de contrôle sur la machine.

Cette faille de Grub2 sera donc en général peu importante du point de vue de la sécurité globale de la machine. Elle reste toutefois ennuyeuse, car elle peut donner un faux sentiment de sécurité. Un correctif a donc été rapidement proposé, et diffusé sur les OS Linux les plus courants.