Une vulnérabilité vient d'être découverte dans la librairie de compression zlib. Vous ne la connaissez peut-être pas, mais zlib, elle, vous connaît bien : elle est utilisée absolument partout, dans presque tous les systèmes d'exploitation et dans de très nombreux logiciels libres et commerciaux. L'exploitation de la vulnérabilité permettrait la prise de contrôle d'ordinateurs de tellement de façons différentes que ce n'est même plus drôle. Aucun exploit ne semble toutefois exister pour l'instant, et les éditeurs font pleuvoir les correctifs en urgence.
au sommaire
Une faille de grande envergure menace de nombreux systèmes informatiques
La vulnérabilité découverte est universelle : elle frappe un composant commun à de très nombreux systèmes d'exploitation et logiciels. Il s'agit de la librairie zlib, chargée de décompresser des données. Mais contrairement à un logiciel de compression et d'archivage (comme WinZIP ou WinRAR par exemple), zlib est une librairie : c'est-à-dire qu'elle n'est pas utilisable directement mais qu'elle offre plutôt ses services aux autres programmes lorsqu'ils ont besoin, en interne, de décompresser quelque chose. C'est pourquoi cette vulnérabilité est jugée si critique : n'importe quel programme qui fait appel à zlib peut potentiellement être utilisé pour activer la vulnérabilité. Et donc prendre le contrôle de l'ordinateur, ou au mieux provoquer un déni de servicedéni de service.
Et des programmes qui font appels à zlib, il y en a énormément : tous les navigateursnavigateurs web, par exemple, l'utilisent afin d'être capables de décompresser le trafic web qui leur arrive souvent compressé. La librairie est également utilisée par la plupart des systèmes d'exploitation (Windows, LinuxLinux, la famille BSD, MacOS X, etc...), ou même encore sur des téléphones mobilesmobiles ou des consoles de jeu ! Bref, zlib est partout et il est donc difficile de savoir d'où viendra l'attaque.
Car vu l'impact potentiel de cette vulnérabilité, on peut imaginer sans risque que de nombreux malins tentent désormais de produire un code d'exploitation. Le jour où un premier prototype sera publié, le ver ne sera guère loin.
Mais heureusement, tous les programmes ne sont pas égaux face à cette faille : les plus vulnérables sont ceux qui utilisent la librairie pour décompresser des données reçues directement depuis l'extérieur (les navigateurs web ou des outils d'affichage d'images, par exemple). Ceux pour qui zlib ne se charge de décompresser que des données statiques sont moins exposés : il faudrait que l'attaquant modifie ces dernières sur le disque avant leur décompression... et donc qu'il ait déjà accès au système !
En outre, la vulnérabilité des logiciels dépendra en grande partie de leur implémentation de la librairie, chose qu'il est difficile de connaître sans jeter un oeil au code sourcecode source (et c'est donc impossible pour les systèmes d'exploitation et les logiciels propriétaires). Selon certains spécialistes, toutefois, il serait très simple d'exploiter cette vulnérabilité pour faire "crasher" les applicationsapplications, mais plus compliqué de prendre le contrôle de l'ordinateur grâce à elle.
La menace est malgré tout jugée critique par les observateurs, qui la placent généralement au niveau d'alerte le plus élevé (par exemple chez le français FrSIRT, ex K-OTIK) ou juste en dessous (chez SecuniaSecunia, car aucun code d'exploitation n'est encore disponible). Elle frappe la version 1.2.2 de la librairie, mais les précédentes pourraient tout aussi bien être vulnérables. La version 1.2.3 devrait corriger cette vulnérabilité prochainement.
MicrosoftMicrosoft affirme de son côté que les versions actuelles de Windows ne semblent pas concernées bien qu'elles utilisent zlib. En revanche, la librairie est aussi utilisée dans MSNMSN MessengerMessenger, InternetInternet Explorer ou encore la suite Office, et il n'y a pour l'instant aucune précision à leur sujet.