Question écrite concernant la faille de sécurité PwnKit (sous Linux) et l'impact de cette faille sur l'informatique communale et régionale
- de
- Emin Özkara
- à
- Bernard Clerfayt, Ministre du Gouvernement de la Région de Bruxelles-Capitale chargé de l'Emploi et de la Formation professionnelle, de la Transition numérique, des Pouvoirs locaux et du Bien-Être animal (question n°900)
| Date de réception: 17/02/2022 | Date de publication: 18/03/2022 | ||
| Législature: 19/24 | Session: 21/22 | Date de réponse: 15/03/2022 | |
| Date | Intitulé de l'acte | de | Référence | page |
| 23/02/2022 | Recevable | Bureau élargi du Parlement |
| Question | Ce 17 février 2022, je souhaite vous questionner sur la faille de sécurité PwnKit (CVE-2021-4034) découverte récemment. Sans rentrer dans des considérations techniques qui sont consultables à cette adresse url : https://www.tenable.com/cve/CVE-2021-4034 , cette vulnérabilité importante vieille de 12 ans permettrait d'obtenir les privilèges d'un utilisateur root sur les machines exécutant un système d'exploitation de la famille Linux. Je souhaite vous poser les questions suivantes en rapport avec l'Informatique communale et régionale :
|
| Réponse | 1/ Au mois de février 2022, le CIRB comptait 1253 serveurs Linux, dont +/- 95 % de serveurs virtuels et +/- 5% de serveurs physiques. 2/ Malgré que la faille « PwnKit » (CVE-2021-4034) soit considérée comme critique, par le fait que celle-ci permet une élévation de privilège assez facilement et que l’outil « PwnKit » est installé par défaut sur toutes les principales distributions Linux, la vulnérabilité est uniquement utilisable par un attaquant qui dispose déjà d’un accès interne à une machine vulnérable. Autrement dit, il faut déjà être entré sur une machine pour ensuite pouvoir utiliser la vulnérabilité, ce qui réduit fortement les risques d’attaque. De plus, dans le cadre du processus de gestion de vulnérabilité au sein du CIRB, des scans de vulnérabilité sont systématiquement exécutés en interne et en externe, et aucune faille de ce type ne nous a été rapportée sur les infrastructures ICT du CIRB couvertes par cette mesure préventive. Toutefois, les différents propriétaires des machines vulnérables sont régulièrement invités à mettre à jour leurs machines avec les packages corrigeant ce CVE (Common Vulnerabilities and Exposures). Le CIRB dispose des outils permettant la mise à jour de ce package en masse sur les machines concernées. 3/ Tous les correctifs sont toujours testés en acceptation avant d’aller en production. 4/ Les mesures de sécurité techniques actuelles (comme les pares-feux, isolation des environnements, Anti-virus, etc.) et organisationnelles qui sont mises en œuvre par le CIRB au sein du Centre Régional de Données, ainsi que la mise à jour régulière des correctifs des systèmes d’exploitation et de VM (machines virtuelles), suffisent actuellement à assurer de manière adéquate la protection des données. Une autre mesure préventive déjà mise en place consiste en l’authentification à deux facteurs. Ce processus de sécurité est devenu le standard appliqué pour toute nouvelle application du CIRB. 5/ Aucune communication spécifique de sécurité relative à cette faille n’a été à ce jour diffusée pour les raisons invoquées au point 2. Toutefois, le CIRB n’est pas en reste et fait régulièrement de la communication et de la sensibilisation relative à la sécurité de l’information à ses utilisateurs et aux responsables IT régionaux. Le message préconisé pour ce type de faille et qui est périodiquement relayé auprès des équipes IT des institutions régionales est : « Gardez toujours vos systèmes à jour avec les dernières mises à jour de sécurité et suivez les instructions de vos fournisseurs de systèmes d’exploitation et VM ». |