L'histoire qui met le feu aux poudres concerne un pilote fournit par nVidia pour une partie de ses cartes vidéo. L'article titre :

« Exploit code released for Nvidia flaw »

« Code d'exploitation publié pour la faille nVidia »

En fait les conséquences sont assez marginales car le pilote concerne Linux et il existe dans Linux un pilote standard non nVidia pour le matériel concerné. Seuls les rares utilisateurs ayant installé le pilote de nVidia sont donc potentiellement vulnérables. Mais un billet, toujours sur ZDnet, rebondit en titrant :

« Surge of killer device drivers leave no OS safe »

« L'augmentation soudaine de pilotes de matériel destructeurs ne laisse aucun système sûr »

Et de lister un nombre non négligeable de pilotes ayant connu récemment des mises à jour de sécurité significatives. Sous Linux, ceci ne pose problème que si vous souhaitez effectivement utiliser le pilote que le constructeur a exceptionnellement bien voulu vous fournir[1]. Dans le cas contraire et donc dans le cas largement général[2], le pilote est mis à jour avec le système. Gageons que sous Mac OS X c'est la même chose. En revanche sous Windows, malheureusement pour ceux qui y sont restés, les pilotes ne sont jamais mis à jour automatiquement et c'est à l'utilisateur, une fois de plus, de s'occuper intégralement de la santé de son système.

En corrolaire ceci relance le débat sur les pilotes libres, entendez par là répondant aux caractéristiques des logiciels libres. En effet cacher le code source des pilotes ne permet pas de les protéger des personnes malveillantes alors autant permettre aux experts d'y jeter un œil. Intel s'est déjà lancé dans la voie[3], qui sera le suivant ?

NB: pour les curieux, un code C relativement compact exploitant la faille est publié sur rapid7.com.

Notes

[1] bien souvent les fabricants laissent ce soin aux développeurs de logiciels libres qui intègrent alors leurs travaux à Linux directement

[2] les pilotes des fabraicants sont souvent très en retard par rapport à Linux de sorte qu'il est difficile de les utiliser !

[3] lire sur ce sujet Intel libère ses pilotes graphiques