Les vieilles failles de sécurité faciles à exploiter ont la vie dure. Il y a toujours quelque part un système qui n’a pas été corrigé. La faille Shellshock en est un vivant exemple. Deux ans après la découverte de cette vulnérabilité zero day touchant l’interpréteur de commandes Bash, force est de constater que la brèche est loin d’être complètement bouchée. Selon IBM, l’orifice est même encore assez béant.
L’essentiel (70 %) des attaques venaient des Etats-Unis et d’Australie (18 %). Elles visaient des organisations installées en Amérique du Nord (pour 26 %), au Japon (18 %) en Inde (16 %) et au Brésil (11 %). Même si les attaques Shellshock ont sérieusement décliné à partir d’octobre 2015, la vulnérabilité référencée CVE-2014-6271 reste vivace. Sur l’ensemble de l’année 2016, IBM évalue le nombre d’attaques liées à la faille à 7 900 par mois en moyenne. Les premières à en faire les frais sont les entreprises du secteur IT (à hauteur de 46 %), y compris les opérateurs télécoms, suivies des services financiers (26 %), des industries de fabrication (16 %), de la santé (6 %) et du commerce (5 %).
Rappelons que GNU Bash est un outil largement utilisé par les administrateurs systèmes pour gérer les environnements Unix, Linux, Solaris ainsi que Mac OS X. Autant d’environnements informatiques déployés dans des environnements professionnels pointus où les mises à jour systèmes ne sont pas toujours triviales en raison de contraintes de production et du besoin de stabilité. Des contraintes dont profitent les cybercriminels, qui trouvent là des cibles facilement accessibles.
Lire également
Faille Shell Shock : Les RSSI oscillent entre pragmatisme et attentisme
Faille Shellshock dans Bash : pourquoi la tempête est loin d’être terminée
Comment Ikea a corrigé rapidement la faille Shellshock
L'expansion des centres de données pour le cloud et l'IA devrait produire 2,5 milliards de…
Un an après le lancement de ChatGPT Enterprise, OpenAI revendique 1 million de clients professionnels.
60 organismes ont travaillé à la rédaction d'un document AFNOR regroupant une trentaine de pratiques…
Incarnée par Ilya Sutskever, Safe Superintelligence Inc a réalisé une levée de fonds stratosphérique de…
Un an après OpenAI avec ChatGPT, Anthropic lance une « formule entreprise » pour Claude.…
Elasticsearch revient à l'open source non pas en réadoptant Apache 2.0, mais en proposant une…