Ce n'est certainement pas du même niveau de gravité que la faille Heartbleed sur OpenSSL, mais c'est tout de même à prendre au sérieux. La fondation FreeBSD a publié mercredi une alerte de sécurité après avoir découvert une faille critique dans la manière dont le système gère le protocole TCP/IP, qui est à la base de toutes les communications sur Internet. En exploitant la faille, "il pourrait être possible pour un assaillant de construire une attaque soigneusement élaborée pour obtenir une portion de la mémoire du noyau", prévient l'éditeur du système d'exploitation open-source.
"Cela pourrait aboutir à la divulgation d'informations sensibles telles que des identifiants", précise FreeBSD.
La faille est due à un bug dans la gestion de l'ordonnancement des paquets d'un flux TCP (Transmission Control Protocol). Le protocole TCP/IP prévoit que les différents paquets d'un même message peuvent arriver dans le désordre chez le destinataire. Le système qui reçoit les paquets doit alors lire le numéro de chaque paquet pour remettre le tout dans l'ordre et vérifier que tous les paquets ont bien été reçus. Cela demande donc de mettre les paquets en mémoire le temps de réaliser le séquencement.
Or FreeBSD avait un bug dans sa manière de gérer la saturation du nombre autorisé de paquets à mettre en mémoire, qui fait qu'il est possible pour un hacker de faire planter le noyau. L'éditeur prévient qu'il est aussi possible, "bien qu'extrêmement difficile", de profiter du bug pour obtenir des informations qui étaient stockées en mémoire, sans faire planter le noyau.
Mac OS X, PS3, Juniper, Nokia… concernés ?
Le bug a été corrigé dans les dernières versions de FreeBSD, et la faille peut aussi être évitée en réalisant une normalisation des paquets au niveau du firewall.
Mais beaucoup de systèmes et d'appareils utilisent FreeBSD, et nous ne savons pas encore lesquels exploitent le code vicié. Selon Wikipedia, le coeur de Mac OS X repose en bonne partie sur FreeBSD, notamment pour la pile réseau. De même, les systèmes d'exploitation des consoles Playstation 3 et Playstation 4 de Sony utilisent FreeBSD, tout comme les routeurs Junos de Juniper, le firewall IPSO de Nokia, les appareils de gestion réseau de Sandvine, les téléviseurs de Panasonic, le NetScaler de Citrix, et bien d'autres outils et appareils réseaux de Blue Coat, Checkpoint, Sophos, McAfee…
Reste à connaître l'origine du bug, qui pourrait alimenter les soupçons croissants sur l'infiltration par la NSA des communautés open-source. C'est en effet un nouveau bug critique découvert dans un logiciel libre très répandu, après le "Goto Fail" d'Apple, la faille Heartbleed de OpenSSL, ou encore celle de GnuTLS.
En 2010, le FBI avait été accusé d'avoir corrompu dix ans auparavant des développeurs pour les convaincre d'insérer des backdoors dans une partie du code d'OpenBSD dédié à la cryptographie. Un audit du code avait alors été réalisé par la communauté, mais rien n'avait été découvert.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.