Comment un ingénieur a évité une énorme cyberattaque mondiale par une erreur d’une demi-seconde | Technologie

“J’ai accidentellement découvert un problème de sécurité lors de tests de performances de changement de vitesse”, a écrit l’ingénieur Andres Freund. sur le réseau social Mastodon. Cette découverte fortuite a empêché la progression de l’une des opérations les plus longues et les plus sophistiquées visant à obtenir un accès illégitime à des millions d’appareils dans le monde.

Le message a conduit à un lien où Freund expliquait comment il avait trouvé “un tas de symptômes étranges” lors de la mise à jour d’un programme. Il a été frappé par le fait que cela utilisait davantage la capacité de son processeur et, surtout, que l’accès prenait une demi-seconde de plus. Cette demi-seconde a éveillé ses soupçons et lui a permis de découvrir le travail obscur mené depuis plus de deux ans par ce qui était prétendument une agence de renseignement d’État.

« Il est très peu probable que ce soit l’œuvre d’amateurs. Il n’y a pas eu de récompense immédiate », déclare Lukasz Olejnik, chercheur et consultant indépendant en cybersécurité et auteur du livre Philosophie de la cybersécurité [sin traducción al español]. « Le temps consacré à cette opération de tromperie, la sophistication du système de porte dérobée et de son code, tout indique qu’une organisation ou une agence peut se permettre un tel projet. Il est bien plus probable que cela ait été fait en payant des salaires.»

L’attaque était une soi-disant attaque de la chaîne d’approvisionnement, qui affecte le logiciel qui prend en charge les programmes les plus connus et les plus courants. Dans ce cas, la cible était un outil de compression utilisé sous Linux, un système d’exploitation libre et open source. Cet outil est utilisé dans des millions de machines. Le but de l’attaque est similaire à la création d’une porte dérobée avec une clé spéciale, qu’eux seuls possédaient, pour accéder à n’importe quel bâtiment dans le monde ayant cette entrée.

Ce système est maintenu grâce à des développeurs bénévoles qui passent des heures à maintenir et mettre à jour différents programmes. Cela s’appelait XZ Utils. Il y a un peu plus de deux ans, l’attaquant a commencé à collaborer avec le programmeur chargé de mettre à jour ce logiciel. La personne chargée de mettre à jour et de répondre par email aux demandes de réglages des autres développeurs était débordée. Ainsi, une partie de l’attaque consistait en une pure ingénierie sociale : le convaincre de confier une partie de ses tâches à la personne derrière un compte pour quelqu’un qui se faisait appeler Jia Tan.

Si l’attaquant gagnait la confiance de la personne en charge de ce code, il pourrait, au fil du temps, placer son code malveillant. S’il n’avait pas été détecté, cela logiciel il aurait été déployé sur des millions de serveurs et aurait bénéficié d’un accès privilégié. On ne sait pas clairement si l’intention était de l’utiliser pour s’introduire dans une ou plusieurs machines spécifiques ou pour lancer une attaque plus massive.

Bien que le code et la méthode nécessitent des compétences informatiques extraordinaires, le contrôle de ces programmes dépend souvent de développeurs stressés et troublés. Dans un fil de messages, le responsable avoue ne pas avoir tout atteint : « Je n’ai pas perdu tout intérêt, mais ma capacité à m’impliquer a été assez limitée, principalement en raison de problèmes de santé mentale à long terme, mais aussi pour quelques autres raisons. J’ai récemment collaboré hors liste avec Jia Tan sur XZ Utils et peut-être qu’il aura un rôle plus important à l’avenir, nous verrons. Il est également important de garder à l’esprit qu’il s’agit d’un projet de loisir non rémunéré”, écrit le manager, dont les seules nouvelles explications c’est que pour le moment il ne répondra pas aux journalistes « parce qu’il faut d’abord » comprendre la situation de manière suffisamment approfondie.

« Il y a beaucoup de gens brûlés dans le logiciel, à la fois open source et commercial. Dans ce cas, cela peut être utile, mais pas décisif », explique Olejnik. «C’est une preuve solide que même des logiciels de niche ou obscurs et semi-orphelins peuvent constituer une question de sécurité nationale et internationale. C’est un coût caché de logiciel. En revanche, personne ne peut en vouloir au mainteneur de XZ, il n’y a pas un large choix de développeurs pour ce type de logiciel”, ajoute-t-il.

Il est probable que d’autres faux comptes aient fait pression sur le responsable pour qu’il confie son travail à Jia Tan plus tôt. L’affaire révèle à la fois un succès et une faille dans la communauté qui gère une grande partie du code de l’ensemble de notre infrastructure numérique. Le problème est qu’il est relativement facile de trouver le maillon faible. Le succès est que le code est disponible et accessible afin que quelqu’un comme Andres Freund puisse détecter le piège et devenir célèbre.

Freund lui-même estime que cette fois, ils ont eu de la chance : « Ce n’est pas que je pense que je n’ai rien fait de nouveau. Je l’ai fait. Ce que je veux dire, c’est que nous avons eu une chance irrationnelle et que nous ne pouvons plus compter uniquement sur quelque chose comme ça à partir de maintenant », a-t-il écrit sur Mastodon. L’attaque est particulière en raison de la combinaison de facteurs, mais les blocs de logiciels libres sur lesquels repose Internet ont été attaqués à d’autres occasions, également par de prétendues agences de renseignement. Il est en fait probable que d’autres cas similaires soient en cours ou proposés. Avec la source fermée, il y a également eu des cas extrêmement célèbres.

Un célèbre compte X (anciennement Twitter) dédié aux codes malveillants a réalisé un mème viral remerciant Freund. « La porte dérobée xz a été détectée par un ingénieur logiciel Microsoft. Il a remarqué une latence de 500 millisecondes et a pensé que quelque chose était étrange. Ce type est le gorille à dos argenté des geeks. Le putain de maître d’Internet.

Cet autre mème a encore plus de sens, montrant comment, dans ce cas, le logiciel Une partie essentielle du monde a été « entretenue de manière suspecte par un acteur payé par l’État pendant les heures de bureau ». Le dessin original sur lequel ce mème est basé est l’œuvre du dessinateur Randall Munroe. et dans la légende, cela dit quelque chose de similaire à ce qui se passe dans la réalité: “Un projet qu’un inconnu du Nebraska entretient depuis 2003, sans que personne ne le remercie.”

Vous pouvez suivre Technologie EL PAÍS dans Facebook oui X ou inscrivez-vous ici pour recevoir notre bulletin d’information semanal.