Une faille critique a été découverte dans Samba, une implémentation du protocole SMB de Microsoft. Elle sera corrigée le 12 avril. Les détails seront publiés en même temps, nécessitant que les mises à jour de sécurité soient rapidement installées.
Il est presque devenu traditionnel d’affubler les importantes failles de sécurité d’un nom, voire d’un logo. Ce fut notoirement le cas pour Heartbleed et Stagefright. Cette fois, il s’agit de Badlock, une faille critique que l’on trouve dans Samba, l'implémentation libre du protocole de partage réseau SMB. On le retrouve donc dans de nombreux produits et systèmes.
On ne connait que très peu de détails sur Badlock, et pour cause : découverte par Stefan Metzmacher, un développeur de l’équipe Samba Core, elle ne verra ses mécanismes pleinement révélés que le 12 avril prochain. À cette date, des correctifs de sécurité seront publiés. Sans informations supplémentaires, on peut imaginer que tous les logiciels intégrant Samba sont concernés. Sur le site mis en place, on peut voir que Windows est également touché, ce qui laisse supposer que le protocole SMB pourrait l'être également.
La brèche est considérée comme « cruciale », ce que l’on peut traduire par critique. Il y a de fortes chances qu’elle puisse permettre une exécution de code arbitraire à distance, voire la prise de contrôle de la machine. Pour cette raison, les correctifs du 12 avril devront être installés aussi rapidement que possible.
Bien que la date ait été choisie d’un commun accord, la révélation des détails servira en effet aussi bien aux experts qu’aux pirates, qui chercheront immanquablement à l’exploiter. La page d'informations sur Badlock indique ainsi que la menace pèsera rapidement sur ceux qui n'appliqueront pas les patchs. On se demande d'ailleurs pourquoi une deuxième date n'a pas été choisie pour laisser le temps aux utilisateurs et administrateurs de se mettre à l'abri.
