En raison de mises à jour malveillantes apportées à xz Utils, le monde était sur le point d'être infecté par un incident de porte dérobée récemment découvert. L’impact aurait pu causer des dégâts similaires à ceux de l’ attaque de SolarWinds en 2020, qui a permis aux pirates informatiques russes de pénétrer au cœur de nombreuses agences gouvernementales américaines.
L’attaque était « terriblement proche » du succès et a été décrite par l’ingénieur en logiciel et cryptographie Filippo Valsorda comme peut-être « l’attaque de la chaîne d’approvisionnement la mieux exécutée » qui ait été observée à ce jour, rapporte Ars Technica.
Une grande partie du code participatif d'Internet est vulnérable à l'infiltration par de mauvais acteurs et par des États-nations. Les logiciels open source sont au « cœur d’Internet », ils sont en grande partie entretenus par une poignée de bénévoles, ce qui en fait un risque majeur pour la sécurité des entreprises et des gouvernements, a rapporté The Economist . Les logiciels open source sont couramment déployés sur l’infrastructure numérique en raison de leur faible coût. Cette infrastructure, intégrée dans le monde numérique, est attaquée par divers États-nations ennemis.
Le 29 mars 2024, Andres Freund, ingénieur logiciel chez Microsoft , a découvert une « porte dérobée cachée dans un logiciel faisant partie du système d'exploitation Linux ». Cette porte dérobée provenait du code source de xz Utils, qui avait été falsifié et permettait un accès non autorisé aux systèmes utilisant les versions concernées. Le code source qui a été compromis provenait de l' utilitaire de compression de données open source xz Utils sur les systèmes Linux. Le New York Times a écrit que l’ingénieur avait empêché une « cyberattaque potentiellement historique ».
Étant donné que xz Utils est un logiciel open source, tout le monde peut voir le code tel qu'il est public et les modifications qui ont ensuite été apportées.
Un développeur nommé Jia Tan a commencé à apporter des contributions utiles au projet et à gagner lentement la confiance. Puis, au fil du temps, le mauvais acteur a introduit clandestinement des logiciels malveillants. Le service de renseignement extérieur russe, SVR, soupçonné d'être à l'origine des attaques, est le même service de renseignement à l'origine de l'attaque de SolarWinds.
L'Open Source Security Foundation (OSSF) a averti que l'attaque xz Utils n'était probablement pas un incident isolé. Des acteurs malveillants ont été surpris en train d'utiliser des tactiques d'ingénierie sociale similaires pour tenter de reprendre d'autres projets tels que la Fondation OpenJS pour les projets JavaScript.
S'adressant au média Frontsight, Ryan Ware, un expert en logiciels open source, a expliqué l'ampleur des risques en jeu :
« Notre infrastructure numérique est très vulnérable », selon Ware. « À ce jour, 177 914 CVE ont été publiés. Disons, à titre informatif, qu'il existe 1 milliard de lignes de code en open source (c'est bien plus, mais nous laisserons cet argument pour un autre jour). Disons également, à titre indicatif, que la moitié de ces CVE sont destinés à l'open source (90 000 pour un joli chiffre rond). Cela signifie que pour le code open source, nous n'avons trouvé qu'une vulnérabilité pour 11 111 lignes de code », a-t-il déclaré.
"Les entreprises tueraient pour avoir un code si propre qu'il n'y ait qu'une seule vulnérabilité trouvée pour 11 000 lignes de code", "De plus, même s'il y a une légère baisse dans la quantité de logiciels open source écrits en ce moment, nous sommes toujours à un niveau record en termes de quantité de code écrit », a expliqué Ware. Il a décrit un scénario dans lequel, pour chaque vulnérabilité trouvée, 5 à 10 vulnérabilités supplémentaires doivent être trouvées avant que le code ne soit correct.
L'ampleur du quasi-accident de XZ Utils nous rappelle brutalement la fragilité des logiciels issus du crowdsourcing et le besoin urgent d'installations sécurisées, comme Ware l'explique en outre :
« Nous savons parfaitement que les États-nations cherchent à compromettre la sécurité des logiciels. Tout ce que vous avez à faire est de consulter la liste des APT disponibles. Ware a déclaré, expliquant en outre que « historiquement, ces acteurs de la menace se sont concentrés sur l’utilisation de vulnérabilités du jour zéro pour atteindre leurs objectifs ». Cependant, il a également noté que « sur le plan opérationnel, ces acteurs de la menace ne se contentent pas de trouver un jour zéro pour ensuite immédiatement l'exploiter. Ils accumulent des vulnérabilités Zero Day (découvertes grâce à leurs propres recherches ou achetées) et les utilisent ensuite lorsqu'ils en ont besoin pour atteindre leurs objectifs opérationnels.
Dans le même temps, Ware a souligné le long délai entre l'existence d'une vulnérabilité et le temps nécessaire aux développeurs de logiciels pour corriger leurs systèmes. Les acteurs menaçants peuvent accumuler des vulnérabilités pendant une longue période à mesure que ce retard dans les réparations se poursuit.
Ce qui n’a pas été beaucoup visible au fil du temps, c’est ce que les acteurs des États-nations ont fait pour manipuler les logiciels. "L'incident avec xz a ouvert une petite fenêtre sur certains de ces aspects, notamment en montrant quels types de ressources ces États-nations peuvent mettre à profit", a déclaré Ware. Cependant, l’incident xz n’est pas la seule preuve qu’une tentative d’ingénierie sociale aussi sophistiquée a été tentée. « Honnêtement, mes inquiétudes concernent ce qui a été fait par les États-nations, à la fois dans le domaine des logiciels open source et dans celui des logiciels commerciaux dont nous ne connaissons pas l'existence à l'heure actuelle », a souligné Ryan.
Lorsqu'on lui demande si l'incident de SolarWinds a disparu de la mémoire récente, selon Ware, cela dépend de la personne à qui vous demandez :
« Je ne pense pas que les responsables gouvernementaux aient oublié les leçons de SolarWinds. Une grande partie du travail autour de la sécurité de la chaîne d’approvisionnement logicielle dans OpenSSF (comme SLSA et GUAC) est effectuée parce que la CISA souhaite voir des solutions dans ce domaine », a-t-il déclaré.
"Je pense que cela a définitivement disparu de la conscience publique, mais en même temps, je ne sais pas dans quelle mesure cela a imprégné la conscience publique", a ajouté Ware, soulignant une perspective ayant des implications pour le développeur de logiciels amateur moyen, souvent membre de la « conscience publique ».