Déclaration de la Free Software Foundation sur la faille « Shellshock » de GNU Bash

Suite à l'annonce de la faille de sécurité dans le shell libre GNU Bash, faille appelée « shellshock », la Free Software Foundation (Fondation pour le Logiciel Libre) a publié une réaction. En voici la traduction faite par l'April.

Une faille de sécurité majeure a été découverte dans le shell libre GNU Bash. Les problèmes les plus sérieux ont d'ores et déjà été corrigés et un correctif complet est en cours d'élaboration. Les distributions GNU/Linux travaillent d'arrache-pied pour fournir des paquets à jour à leurs utilisateurs. Tous les utilisateurs de Bash doivent procéder à une mise à jour immédiate et vérifier la liste des services de réseau distants exécutés sur leur système.

Bash est le shell du projet GNU et fait partie de la suite de programmes constitutifs du système d'exploitation GNU. Les programmes GNU associés au noyau Linux forment un système d'exploitation d'utilisation courante, libre et complet, qui s'appelle GNU/Linux. Le bogue, référencé sous le nom de « shellshock », permet aux attaquants, dans certaines circonstances, de prendre la main et de contrôler un système à distance en utilisant Bash (ainsi que les programmes utilisant Bash) comme moyen d'attaque, quel que soit le noyau concerné. Le bogue affecte probablement bon nombre des utilisateurs de GNU/Linux ainsi que ceux qui utilisent Bash sur des systèmes d'exploitation privateurs tels que l'OS X d'Apple et Microsoft Windows. Des détails techniques supplémentaires peuvent être obtenus sur CVE-2014-6271 [en] et CVE-2014-7169 [en].

GNU/Bash [en] doit son succès au fait que c'est un shell libre, fiable et bourré de fonctionnalités. Ce succès a pour conséquence que le bogue majeur découvert hier touche beaucoup de monde. Heureusement, la licence de GNU Bash, la GNU GPL version 3 (licence publique générale GNU) a rendu possible une réaction rapide. Elle a permis à Red Hat [en] de développer et de partager des correctifs conjointement au travail effectué en amont par les développeurs de Bash, correctifs qui peuvent être téléchargés et appliqués par quiconque le souhaite. Toute personne qui utilise Bash est libre de télécharger, d'étudier et de modifier le code source – ce qui n'est pas le cas avec les logiciels de Microsoft, Apple et autres éditeurs de logiciels privateurs.

La liberté du logiciel est une condition préalable à l'informatique sécurisée ; elle assure à chacun la possibilité d'étudier le code source pour y détecter des failles et celle de créer de nouvelles versions sécurisées le cas échéant. Cette liberté ne garantit pas pour autant un code source sans bogue, pas plus que ne le font les logiciels privateurs : l'existence de bogues n'est pas liée à la licence du logiciel. Par contre, lorsqu'un bogue est découvert dans un logiciel libre, chacun dispose de la permission, des droits et du code source requis pour détecter et corriger le problème. Le correctif peut alors être immédiatement et librement distribué à toute personne qui en a besoin. C'est bien pourquoi cette liberté est vitale pour une informatique juste et sûre.

Les logiciels privateurs (c.-à-d. non libres) reposent sur un modèle de développement injuste, qui refuse aux utilisateurs la liberté fondamentale de contrôler leur ordinateur. Quand le code d'un logiciel est maintenu secret, il vous expose non seulement aux bogues, qui restent indétectés, mais aussi à l'introduction et au maintien délibérés de fonctionnalités malveillantes. Les entreprises peuvent utiliser l'opacité de leur code pour passer sous silence de graves problèmes ; il a en outre été prouvé que Microsoft fournit des informations sur les failles de sécurité à des agences de renseignement, avant de les corriger [en].

Les logiciels libres ne peuvent garantir votre sécurité, voire dans certaines situations peuvent sembler moins sécurisés dans des contextes particuliers que certains logiciels privateurs. Mais, comme cela a été largement reconnu à la suite du bogue « Heartbleed » d'OpenSSL, troquer une faille de sécurité unique contre l'insécurité intrinsèque des logiciels privateurs n'est pas la solution ; la solution est bien plutôt de mettre de l'énergie et des ressources dans l'audit et l'amélioration des programmes libres.

Le développement de Bash et, plus généralement, de GNU est le fruit d'un travail presqu'exclusivement bénévole et vous pouvez y contribuer [en]. Nous réexaminons actuellement la procédure de développement de Bash afin de voir si des ressources financières plus importantes peuvent nous aider à éviter d'autres problèmes à l'avenir. Si vous-même ou votre organisation utilisez Bash et trouvez un intérêt à soutenir son développement, n'hésitez pas à nous contacter.

Les correctifs permettant de remédier au bogue peuvent être obtenus directement sur http://ftp.gnu.org/gnu/bash/ [en].

Contact presse :

John Sullivan, directeur exécutif
Free Software Foundation
campaigns@fsf.org