Découverte fin 2016, la vulnérabilité Dirty COW (CVE-2016-5195) affecte tous les systèmes basés sur le noyau Linux. Surprenante, cette faille existe depuis 2007 sans avoir été détectée plus tôt.
Dans cet article, découvrez en détail cette vulnérabilité, les systèmes impactés et les mesures de protection essentielles pour rester en sécurité.
Dirty COW est une faille d'escalade de privilèges permettant d'obtenir un accès root sur les systèmes Linux. Facile à exploiter et présente depuis plus de 11 ans, elle inquiète les experts en sécurité.
Linus Torvalds lui-même l'avait identifiée en 2007, mais la considérait comme théorique.
Elle exploite le mécanisme Copy-On-Write (COW) du noyau Linux, créant une condition de course pour rendre un fichier en lecture seule modifiable. Un utilisateur non privilégié peut ainsi élever ses droits et accéder illimités au système : modification de fichiers, déploiement de keyloggers, vol de données personnelles, etc.
Dirty COW touche les noyaux Linux depuis la version 2.6.22 (2007). Les correctifs ont été publiés en octobre 2016 (4.8.3, 4.7.9, 4.4.26 et supérieures), avec un patch définitif en novembre 2017.
Vérifiez votre version avec la commande :
uname -rLes distributions comme Ubuntu, Debian et Arch Linux ont déployé les mises à jour. Assurez-vous d'appliquer les derniers patches noyau.
Même si la plupart des systèmes grand public sont corrigés, les appareils IoT embarqués bon marché restent vulnérables, faute de mises à jour fabricants. Privilégiez des marques réputées avec support après-vente fiable.
Android, basé sur Linux, est également concerné.
ZNIU, premier malware Android exploitant Dirty COW, rootait les appareils jusqu'à Android 7.0 Nougat (architecture ARM/x86 64 bits).
Selon Trend Micro, plus de 300 000 apps malveillantes ZNIU ont été détectées en septembre 2017, touchant 50 pays (Chine, Inde, Japon...). Elles se déguisent souvent en apps ou jeux pour adultes.
Distribuées via sites malveillants sous forme d'apps soft-porn, ces apps trompent les utilisateurs novices.
Une fois lancées, elles contactent un serveur C&C, exploitent Dirty COW pour rooter l'appareil, installent une backdoor et volent des données.
Elles monétisent via micro-transactions SMS (environ 3 $/mois), masquées et supprimées automatiquement. Les fonds transitent par une société fictive chinoise. Hors Chine, backdoor pour futures attaques.
Google a patché en décembre 2016 (Android 4.4+). En janvier 2018, 6 % des appareils restaient sous 4.4.
Vérifiez : Paramètres > À propos du téléphone > Niveau de correctif de sécurité Android. Postérieur à décembre 2016 = protégé.
Google Play Protect scanne les menaces (sur appareils certifiés). Évitez apps de sources inconnues ; Android 8.0+ renforce les contrôles.
Les antivirus détectent post-infection mais ne préviennent pas toujours. Priorisez mises à jour et vigilance.
Dirty COW a été largement patchée (Linux distros, Android via Play Protect). Mais IoT et Android low-cost restent à risque sans support.
Évitez fabricants non certifiés Google. Installez mises à jour promptly et adoptez bonnes pratiques en ligne.
Votre système a-t-il été impacté par Dirty COW ou ZNIU ? Appliquez-vous les mises à jour sécurité ? Partagez en commentaires !