Il a 38 ans, il est diplômé de l'Ecole nationale supérieure des Télécommunications de Bretagne, et il menait une vie tranquille en Ecosse. Cette semaine, Stéphane Chazelas est devenu l'un des héros de la communauté open source en dénichant une faille critique Unix, qui affecte 70% des serveurs Web et les machines de nombreux particuliers sous Linux/Mac OS X. Il raconte l'aventure.

«Il y a une partie sécurité informatique dans mon job au quotidien, mais Unix et les logiciels libres sont plutôt un hobby», confie l'ingénieur à 20 Minutes. Très actif dans la communauté, notamment sur le site de développeurs StackExchange, où il répond à de nombreuses questions, Chazelas avait identifié un premier bug il y a quelques mois au niveau de l'interpréteur de commandes Bash, qui permet de donner des ordres au système d'exploitation et d’interagir avec d'autres programmes.

Un bug introduit par erreur en 1992

En testant d'autres vecteurs d'attaque, il découvre qu'un mécanisme «peu connu» de Bash a été implémenté «d'une manière naïve» au début des années 90, et que la vulnérabilité est cette fois «bien plus grave». «En découvrant l'échelle du problème, j'ai eu un peu peur et j'ai réfléchis au meilleur moyen de le corriger sans trop faire de dégâts», dit-il.

Le 12 septembre, il envoie un mail à Chet Ramey, un développeur américain qui maintient Bash à jour bénévolement depuis le début des années 90. Ramey confie au New York Times qu'il pense avoir introduit ce bug sans faire exprès en 1992, et que personne ne l'a détecté pendant 22 ans. Ensemble, les deux hommes travaillent avec le reste de la communauté et mettent au point un premier patch en quelques heures, puis ils avertissent les acteurs majeurs du Web en essayant de ne pas éveiller les soupçons des hackers.

Un danger pour les objets connectés

De nombreux experts jugent la faille plus problématique que le bug médiatique Heartbleed du printemps dernier. Exploiter Heartbleed «n'était pas à la portée du premier venu» et le hacker n'avait accès «qu'à des données brutes pas forcément exploitable», note Chazelas. Avec Bash, une fois une bonne combinaison d'attaque trouvée, il est possible «d'exécuter n'importe quelle commande sur la machine et donc causer beaucoup plus de dommages». Comme de faire télécharger un virus à la machine ou de rejoindre un réseau de Botnets, des ordinateurs infectés qui servent à lancer des attaques à grande échelle. Il n'a d'ailleurs pas fallu longtemps pour voir apparaître le premier ver tentant d'exploiter la faille.

Le problème, c'est que si les géants du Web ont déjà déployés des patches partiels, de nombreux systèmes ne seront jamais mis à jour. Les attaques contre Target et Home Depot, notamment, ont été facilitées par la négligence passée de certains administrateurs.

Avec «Shellshock», la situation pourrait être critique du côté des objets connectés (moniteurs bébé, caméras, serrures électroniques etc.). Une fois qu'une faille est découverte, tous les modèles identiques sont vulnérables, explique l'ingénieur. La communauté open source va avoir du boulot.