Apache est touché
par une faille. Et quand Apache faillit, c'est plus
de la moitié du Web mondial qui est menacé :
le fameux serveur en open source représente en
effet 63 % des sites hébergés dans
le monde - selon les statistiques de Netcraft Ltd.
Une brèche sur Apache est donc une aubaine pour
les hackers, qui pourront grâce à elle
prendre le contrôle de certains serveurs Web.
Heureusement, toutes
les versions du serveur web ne sont pas gravement menacées :
la faille n'est critique que sur un nombre fort limité
de versions. Attention toutefois : les utilisateurs
des versions 1.x sous Windows 2000 et Windows 2000 Server,
ainsi que de certaines versions qui tournent sous Unix
64 bits ont toutes les raisons de s'inquiéter :
un pirate expérimenté pourra prendre le
contrôle du système sur lequel il est installé.
Interruption
de service
Pour le reste, les versions d'Apache qui sont vulnérables
ne
risquent
pas plus qu'une interruption de service. Cette menace
touche les versions 1.3, ainsi que toutes les versions
2 supérieures à la 2.0.36. Attention encore :
les membres de la communauté open source n'ont
pas eu le temps de faire des vérifications exhaustives
pour chaque version, et il est encore possible que d'autres
déclinaisons d'Apache soient vulnérables.
L'alerte
postée par l'Internet Security Systems (ISS)
détaille l'aspect technique de cette faille :
lorsqu'Apache reçoit des données en provenance
de l'internaute, il leur alloue une certaine quantité
de mémoire tampon qui permet de les stocker.
Le serveur Apache interprète mal la taille de
ces paquets de données, ce qui pourrait -
au terme d'un processus complexe et difficile à
mettre en oeuvre pour un pirate - laisser un code
malicieux inflitrer le système.
Manque
de coordination
L'alerte est inquiétante
en soi. Mais plus inquiétante encore est peut-être
l'attitude de la communauté open source suite
à cette alerte. Un article
particulièrement argumenté de Cnet met
en effet en évidence le manque de coordination
patent entre les tenants du logiciel libre. ISS a lancé
son alerte sans se soucier du travail qu'acomplissait
discrètement de son côté la fondation
Apache - qui est à l'origine de la création
du serveur éponyme. Les responsables de cette
organisation ont fait savoir après coup qu'ils
travaillaient depuis quelques temps déjà
sur cette faille, qui leur a été révélée
par un développeur beaucoup plus discret, et
qu'ils tentaient avant tout d'en cerner l'étendue.
L'ISS a lancé
son alerte et son patch deux heures après avoir
prévenu la fondation Apache. Un manque de coordination,
qui a aujourd'hui pour conséquence de mettre
à mal l'efficacité du correctif, et surtout
la justesse de l'information qui l'accompagne. Car comme
le souligne un membre fondateur de la fondation Apache,
les recherches menées par les créateurs
du serveur n'avaient pas encore pris fin. On ne sait
toujours pas précisément quelles versions
du serveur sont affectées, plate-forme par plate-forme.
L'ISS, qui cherchait
selon ses propres déclarations à soustraire
au plus vite la brêche des yeux des hackers a
donc fait pire que mieux : tous les pirates sont
désormais informés qu'une faille existe,
quant aux adminstrateurs : "avec le lancement
prématuré de l'ISS, beaucoup de serveurs
Apache demeurent vulnérables puisqu'ils n'ont
pas accès au patch provenant de leur fournisseur
Apache" - pouvait on lire sur la liste de
diffusion Bugtraq.
Motivations
coupables
Simple pêché d'orgueil ? Volonté
de la part de l'ISS de se mettre en avant ? Pire
encore selon la fondation Apache : l'ISS aurait
voulu garder une longueur d'avance sur ses
concurrents.
Bon nombre d'experts de l'Apache Fondation travaillent
en effet dans des entreprises concurrentes de l'ISS.
Une situation qui attise les rivalités, qui n'ont
théoriquement pas droit de cité dans la
communauté open-source. L'un des piliers de l'open
source étant en effet le travail collaboratif
entre les membres.
Tout n'est pas si
rose sur la planète Open Source, et certains
se prennent parfois à rêver d'une coordination
contre les failles aussi efficace que celle de ... Microsoft.
Un espoir coupable qui risque bien d'être déçu,
à court terme au moins. Avec tous les effets
pervers que cela pourrait avoir : un serveur web
doit impérativement fonctionner de pair avec
un organisme de correction des failles efficace, sous
peine d'être boudé par les administrateurs.
|