"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui regardent et laissent faire !" Albert Einstein

"VENOM" a menacé des milliers de centres de données dans le monde


Baptisé «VENOM», un bug permettait à des pirates de pénétrer au sein de serveurs et de prendre contrôle des systèmes qui y sont hébergés, appartenant notamment à des entreprises.

Elle s'appelle CVE-2015-3456, ou plus simplement «VENOM» («venin» en français). L'entreprise américaine de cybersécurité Crowdstrike a dévoilé mercredi une grave faille qui a potentiellement mis en danger des milliers de systèmes informatiques d'entreprises dans le monde.

VENOM touche plus particulièrement le logiciel libre (QEMU) utilisé pour concevoir des machines virtuelles. Ces dernières sont utilisées au sein de centre de données afin d'héberger au sein d'un même ordinateur plusieurs systèmes d'exploitation, par exemple appartenant à deux entreprises différentes.

En principe, les logiciels de virtualisation permettent de protéger les données de tous les systèmes dans un même serveur. Une entreprise ne peut pas accéder aux données d'une autre, même si elles se situent même endroit. La faille VENOM permet néanmoins de prendre contrôle de tous les systèmes hébergés dans une machine. «C'est un peu comme si quelqu'un entrait par la fenêtre d'un bureau et qu'il pouvait aller voir ailleurs dans l'immeuble, parce que la porte est déverrouillée», résume Gérome Billois, expert en cybersécurité chez Solucom.

Une faille qui permet d'entrer dans un système en profondeur


D'après Crowdstrike, VENOM existe depuis 2004. Le bug a été corrigé par une quinzaine de plateformes utilisant le code. Oracle, entreprise américaine spécialiste des services informatiques pour les entreprises, a annoncé qu'elle travaillait sur une mise à jour corrigeant le problème sur VirtualBox, son propre logiciel de virtualisation. Crowdstrike affirme néanmoins n'avoir constaté aucune exploitation criminelle de la faille.

Plus de peur que de mal? VENOM a vite été comparé à une autre faille informatique majeure, Heartbleed, qui avait permis l'échange en clair de données personnelles d'internautes pendant près de deux ans. «Heartbleed permettait d'écouter ce qui se passait sur un site, mais VENOM permettait d'entrer dans le système plus en profondeur. En ce sens, la faille est plus grave», affirme Gérome Billois. «Mais Heartbleed pouvait potentiellement affecter bien plus de machines, car il touchait un programme très populaire et répandu.» QEMU dispose de son côté de nombreux concurrents, comme l'Hyper-V développé par Microsoft, qui ne sont pas concernés par le bug.

Heartbleed et VENOM partagent au moins un point commun: elles ont bénéficié d'un plan de communication qui ne ferait pas rougir des spécialistes du marketing, avec un site dédié, un surnom et même un logo officiel. «La découverte d'une faille peut être une opportunité pour une entreprise de mieux se faire connaître», confirme Gérome Billois. «C'est assez positif: un tel plan marketing permet de mieux parler des enjeux de sécurité informatique et d'y sensibiliser des personnes dont ce n'est pas la spécialité, comme un PDG d'entreprise.»

Lucie Ronfaut