Une faille 0-day a été découverte dans le noyau Linux. Les distributions pour ordinateurs travaillent déjà sur la création de correctifs qui devraient être diffusés très prochainement. La question se pose par contre pour Android, également concerné et pour qui la situation sera plus complexe.
La faille a été rapportée initialement la semaine dernière par la société Perception Point, mais l’information n’arrive réellement sur le devant qu’aujourd’hui. Tous les détails viennent en effet d’être publiés, permettant aux pirates de se jeter sur les informations qui leur permettront potentiellement d’en créer des exploitations.
Cette vulnérabilité 0-day touche le noyau Linux et s’est vu attribuer la référence CVE-2016-0728 (le bulletin est réservé, mais vide pour l'instant). Elle existe depuis 2012, avec l’arrivée de la version 3.8. Elle permet une escalade locale des privilèges et peut être exploitée si un malware sait où chercher. La faille en elle-même est entourée d’une certaine ironie car elle réside dans un mécanisme de sécurité, à savoir le stockage des clés d’authentification et de chiffrement pour les pilotes.
Les correctifs sont en préparation
Interrogé par le site Data Breach, le PDG d’Interception Point, Yevgeny Pats, indique que rien ne montre pour l’instant que la faille ait déjà été exploitée. Cependant, la remarque vaut uniquement jusqu’à aujourd’hui, car il explique lui-même qu’avec les détails de cette faille, les chercheurs auront eux aussi une idée beaucoup plus précise de ce qu’il faut chercher. Quoi qu’il en soit, l’équipe de développeurs du noyau Linux est déjà au courant, de même que des entreprises comme SUSE et Red Hat, dont Pats loue la « très, très grande réactivité ».
Facteur limitant, la faille n’est a priori pas exploitable à distance. Un pirate doit donc avoir accès à la machine pour exécuter du code. Mais l’exploitation, si elle a lieu, peut donner les droits root à un processus tiers. À partir de là, un malware peut sans problème créer une connexion depuis laquelle un pirate pourra contrôler la machine. L’exploitation peut se faire également en récupérant un binaire vérolé. On notera cependant que les mécanismes de sécurité Supervisor Mode Execution Protection et Supervisor Mode Access Prevention (SMEP et SMAP) rendent cette exploitation plus difficile.
Le cas Android
Sur Android cependant, la situation est plus complexe, car les téléchargements d’applications y sont monnaie courante. Là encore, l’exploitation sera rendue plus difficile (mais pas impossible) par la présence d’un mécanisme, SELinux, mais ce dernier n’est arrivé dans Android qu’à partir de la version 4.3. Ici, malheureusement, les politiques de support autour d’Android jouent contre les utilisateurs.
Les versions antérieures à 4.3 représentent encore un bon tiers des appareils en circulation, ce qui fait dire à Perception Point qu’en tenant compte de la date d’arrivée du bug dans le noyau Linux, 66 % des appareils en circulation sont vulnérables. Interrogé par Data Breach, Google n’a pas encore réagi sur ce point, mais le processus est toujours le même : l’entreprise prépare un correctif, qui sera ensuite fourni aux constructeurs.
Mais ce sont bien ces derniers qui décident en dernier recours du déploiement sur leurs smartphones et tablettes, et on a pu voir avec le faille Stagefright que 90 % des appareils n’étaient pas mis à jour, seules les versions récentes d’Android recevant des correctifs.
