Même dans un logiciel libre, des failles et des bugs peuvent apparaître et compromettre la sécurité de l’usager. Cela s’est encore vérifié récemment : deux chercheurs ont en effet mis en lumière il y a peu une méthode permettant d’exploiter une faille de Grub — un outil qui permet de choisir un système d’exploitation au moment du démarrage du PC, si plusieurs d’entre eux sont installés —, pour accéder à Linux.
Comment ? Avec une technique très simple sur le papier ! Il suffit d’appuyer 28 fois sur la touche « retour arrière » lorsque le chargeur d’amorçage (bootloader) demande un nom d’utilisateur. À ce moment-là, raconte Lifehacker, le système d’exploitation bascule dans le mode de secours de Grub (« Grub rescue shell »), permettant à quelqu’un d’accéder aux données de l’ordinateur ou d’installer un logiciel malveillant.
En clair,
Accueil de Grub
– SF007
Facile. Du moins, en théorie. Car dans la pratique, c’est une toute autre affaire : il faut en effet avoir un accès physique au clavier du PC pour pouvoir faire cette manipulation, ce qui exclut a priori les tentatives de piratage à distance. De plus, le bug sera de moins en moins exploitable avec le temps : en effet, un patch de Grub2 est proposé par les principales distributions Linux que sont Ubuntu, Red Hat, et Debian.
Les deux chercheurs, qui travaillent à l’université polytechnique de Valence, au sein d’un groupe consacré à la cybersécurité, avaient publié un patch de leur côté pour permettre de corriger le bug.
Article mis à jour pour mieux préciser que la faille concerne Grub et non GNU/Linux en tant que tel.
Le futur de Numerama arrive bientôt ! Mais avant ça, on a besoin de vous. Vous avez 3 minutes ? Répondez à notre enquête
