En raison de mises à jour   apportées à xz Utils, le monde était sur le point d'être infecté par un   L’impact aurait pu causer des dégâts similaires à ceux de l’   en 2020, qui a permis aux pirates informatiques russes de pénétrer au cœur de nombreuses agences gouvernementales américaines. malveillantes incident de porte dérobée récemment découvert. attaque de SolarWinds  L’attaque était « terriblement proche » du succès et a été décrite par l’ingénieur en logiciel et cryptographie Filippo Valsorda comme peut-être « l’attaque de la chaîne d’approvisionnement la mieux exécutée » qui ait été observée à ce jour, rapporte Ars Technica.  Une grande partie du code participatif d'Internet est vulnérable à l'infiltration par de mauvais acteurs et par des États-nations. Les logiciels open source sont au « cœur d’Internet », ils sont en grande partie entretenus par une poignée de bénévoles, ce qui en fait un risque majeur pour la sécurité des entreprises et des gouvernements, a rapporté   .   sont couramment déployés sur   numérique en raison de leur faible coût. Cette infrastructure, intégrée dans le monde numérique, est attaquée par divers États-nations ennemis. The Economist Les logiciels open source l’infrastructure   La récente alerte open source de xz Utils  Le 29 mars 2024, Andres Freund, ingénieur logiciel chez   , a découvert une « porte dérobée cachée dans un logiciel faisant partie du système d'exploitation Linux ». Cette porte dérobée provenait du code source de xz Utils, qui avait été falsifié et permettait un accès non autorisé aux systèmes utilisant les versions concernées. Le code source qui a été compromis provenait de l'   sur les systèmes Linux. Le   a écrit que l’ingénieur avait empêché une « cyberattaque potentiellement historique ». Microsoft utilitaire de compression de données open source xz Utils New York Times  Étant donné que xz Utils est un logiciel open source, tout le monde peut voir le code tel qu'il est public et les modifications qui ont ensuite été apportées.  Un développeur nommé Jia Tan a commencé à apporter des contributions utiles au projet et à gagner lentement la confiance. Puis, au fil du temps, le mauvais acteur a introduit clandestinement des logiciels malveillants. Le service de renseignement extérieur russe, SVR, soupçonné d'être à l'origine des attaques, est le même service de renseignement à l'origine de l'attaque de SolarWinds.  L'Open Source Security Foundation (OSSF)   que l'attaque xz Utils n'était probablement pas un incident isolé. Des acteurs malveillants ont été surpris en train d'utiliser des tactiques d'ingénierie sociale similaires pour tenter de reprendre d'autres projets tels que la   pour les projets JavaScript. a averti Fondation OpenJS   La vulnérabilité des logiciels open source  S'adressant au média Frontsight, Ryan Ware, un expert en logiciels open source, a expliqué l'ampleur des risques en jeu :  « Notre infrastructure numérique est très vulnérable », selon Ware. « À ce jour, 177 914 CVE ont été publiés. Disons, à titre informatif, qu'il existe 1 milliard de lignes de code en open source (c'est bien plus, mais nous laisserons cet argument pour un autre jour). Disons également, à titre indicatif, que la moitié de ces CVE sont destinés à l'open source (90 000 pour un joli chiffre rond). Cela signifie que pour le code open source, nous n'avons trouvé qu'une vulnérabilité pour 11 111 lignes de code », a-t-il déclaré.  "Les entreprises tueraient pour avoir un code si propre qu'il n'y ait qu'une seule vulnérabilité trouvée pour 11 000 lignes de code", "De plus, même s'il y a une légère baisse dans la quantité de logiciels open source écrits en ce moment, nous sommes toujours à un niveau record en termes de quantité de code écrit », a expliqué Ware. Il a décrit un scénario dans lequel, pour chaque vulnérabilité trouvée, 5 à 10 vulnérabilités supplémentaires doivent être trouvées avant que le code ne soit correct.   Leçon de xz Utils  L'ampleur du quasi-accident de XZ Utils nous rappelle brutalement la fragilité des logiciels issus du crowdsourcing et le besoin urgent d'installations sécurisées, comme Ware l'explique en outre :  « Nous savons parfaitement que les États-nations cherchent à compromettre la sécurité des logiciels. Tout ce que vous avez à faire est de consulter la liste des   disponibles. Ware a déclaré, expliquant en outre que « historiquement, ces acteurs de la menace se sont concentrés sur l’utilisation de vulnérabilités du jour zéro pour atteindre leurs objectifs ». Cependant, il a également noté que « sur le plan opérationnel, ces acteurs de la menace ne se contentent pas de trouver un jour zéro pour ensuite immédiatement l'exploiter. Ils accumulent des vulnérabilités Zero Day (découvertes grâce à leurs propres recherches ou achetées) et les utilisent ensuite lorsqu'ils en ont besoin pour atteindre leurs objectifs opérationnels. APT  Dans le même temps, Ware a souligné le long délai entre l'existence d'une vulnérabilité et le temps nécessaire aux développeurs de logiciels pour corriger leurs systèmes. Les acteurs menaçants peuvent accumuler des vulnérabilités pendant une longue période à mesure que ce retard dans les réparations se poursuit.   Une ligne de vision peu claire pour la manipulation de logiciels  Ce qui n’a pas été beaucoup visible au fil du temps, c’est ce que les acteurs des États-nations ont fait pour manipuler les logiciels. "L'incident avec xz a ouvert une petite fenêtre sur certains de ces aspects, notamment en montrant quels types de ressources ces États-nations peuvent mettre à profit", a déclaré Ware. Cependant, l’incident xz n’est pas la seule preuve qu’une tentative   aussi sophistiquée a été tentée. « Honnêtement, mes inquiétudes concernent ce qui a été fait par les États-nations, à la fois dans le domaine des logiciels open source et dans celui des logiciels commerciaux dont nous ne connaissons pas l'existence à l'heure actuelle », a souligné Ryan. d’ingénierie sociale  Lorsqu'on lui demande si l'incident de SolarWinds a disparu de la mémoire récente, selon Ware, cela dépend de la personne à qui vous demandez :  « Je ne pense pas que les responsables gouvernementaux aient oublié les leçons de SolarWinds. Une grande partie du travail autour de la sécurité de la chaîne d’approvisionnement logicielle dans OpenSSF (comme SLSA et GUAC) est effectuée parce que la CISA souhaite voir des solutions dans ce domaine », a-t-il déclaré.  "Je pense que cela a définitivement disparu de la conscience publique, mais en même temps, je ne sais pas dans quelle mesure cela a imprégné la conscience publique", a ajouté Ware, soulignant une perspective ayant des implications pour le développeur de logiciels amateur moyen, souvent membre de la « conscience publique ».

This story contains new, firsthand information uncovered by the writer.

Read My Stories

Cet audio est produit dans la langue originale de l'histoire !

Trop long; Pour lire

Download free Tech Leaders Productivity Report!

Comment une mise à jour malveillante de Xz Utils a presque provoqué une cyberattaque catastrophique sur les systèmes Linux du monde entier

About Author

COMMENTAIRES

ÉTIQUETTES

CET ARTICLE A ÉTÉ PARU DANS

Related Stories

Valhalla de Floki se joint en tant que sponsor associé de la tournée indienne au Sri Lanka

Vous voulez gagner un concours d’écriture HackerNoon ? Voici ce que recommandent les gagnants du concours #crypto-api

Appuyez pour gagner : Telegram pourrait intégrer les 10 prochains milliards d'utilisateurs de crypto avant Solana

Le guide complet pour réussir une migration vers le cloud : stratégies et bonnes pratiques

Valhalla de Floki se joint en tant que sponsor associé de la tournée indienne au Sri Lanka

Vous voulez gagner un concours d’écriture HackerNoon ? Voici ce que recommandent les gagnants du concours #crypto-api

Appuyez pour gagner : Telegram pourrait intégrer les 10 prochains milliards d'utilisateurs de crypto avant Solana

Le guide complet pour réussir une migration vers le cloud : stratégies et bonnes pratiques

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps