Sécurité

La commande sudo utilisée dans Linux et macOS présente une faille de sécurité

Les systèmes d’exploitation basés sur Unix tels que les distributions macOS et Linux offrent la commande “sudo” pour ouvrir des programmes et effectuer des tâches avec des privilèges élevés. Un chercheur d’Apple a découvert une vulnérabilité dans cette commande qui permet un accès non autorisé en tant que super-utilisateur, même si vous ne connaissez pas le mot de passe. Heureusement, le bogue est plus restreint qu’il n’y paraît et a déjà été corrigé.

Certaines tâches des distributions Linux sont réservées au super-utilisateur, appelé “root”, par exemple l’installation de nouveaux programmes. Pour ce faire, vous pouvez exécuter la commande sudo dans le terminal, où vous devrez saisir le mot de passe.

En exécutant la commande sudo, vous pouvez entrer votre nom d’utilisateur ou un code d’identification appelé UID. Par exemple, en supposant que usuariotb a l’UID 1001, il serait possible d’utiliser deux commandes différentes pour ouvrir l’éditeur de texte Vim : “sudo -u usuariotb vim” ou “sudo -u#1001 vim”.

  Connexion de la commande Xbox 360 à votre PC

Joe Vennix, chercheur en sécurité chez Apple, a découvert qu’il est possible d’exécuter avec succès la commande sudo en utilisant l’UID -1 ou 4294967295, même si vous n’êtes pas le super-utilisateur. Il vous traite comme si vous aviez un accès root (UID 0), et il n’est pas nécessaire d’entrer un mot de passe, puisque ces UID ne sont pas associés à des mots de passe.

L’échec nécessite un “sudo” mal configuré pour fonctionner

Cependant, il n’est pas vraiment facile de tirer parti de cette vulnérabilité. Il est nécessaire que le fichier de configuration des commandes sudo, appelé “sudoers”, permette à l’utilisateur d’exécuter certaines commandes comme s’il s’agissait d’un autre utilisateur. Par défaut, la plupart des distributions Linux ne le permettent pas.

“Bien que ce bogue soit puissant, il est important de se rappeler qu’il ne fonctionne que si un utilisateur a accès à une commande via le fichier de configuration de sudoers”, explique Bleeping Computer. Sinon, la vulnérabilité ne peut pas être exploitée.

  Ce que vous devez savoir avant de décider de vous lancer sur Android

Autrement dit, la plupart des utilisateurs de Linux et de MacOS ne seront pas concernés. Néanmoins, comme il s’agit d’un défaut grave, sudo a été mis à jour à la version 1.8.28 afin de résoudre le problème.

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire