/cdn.vox-cdn.com/uploads/chorus_asset/file/23318435/akrales_220309_4977_0232.jpg?fit=%2C&ssl=1)
Linux, le système d’exploitation open source le plus utilisé au monde, a échappé de peu à une cyberattaque massive le week-end de Pâques, tout cela grâce à un volontaire.
La porte dérobée a été insérée dans une version récente d’un format de compression Linux appelé XZ Utils, un outil peu connu en dehors du monde Linux mais utilisé dans presque toutes les distributions Linux pour compresser des fichiers volumineux, les rendant ainsi plus faciles à transférer. Si elle s’était répandue plus largement, un nombre incalculable de systèmes auraient pu rester compromis pendant des années.
Et comme Ars Technica noté dans son récapitulatif exhaustifle coupable travaillait sur le projet en plein air.
La vulnérabilité, insérée dans la connexion à distance de Linux, ne s’est exposée qu’à une seule clé, afin de pouvoir se cacher des analyses des ordinateurs publics. Comme Ben Thompson écrit dans Stratégie. “La majorité des ordinateurs du monde seraient vulnérables et personne ne le saurait.”
L’histoire de la découverte de la porte dérobée XZ commence tôt le matin du 29 mars, alors que Andres Freund, développeur Microsoft basé à San Francisco, l’a publié sur Mastodon et envoyé un email à la liste de diffusion de sécurité d’OpenWall avec le titre : « porte dérobée dans xz/liblzma en amont conduisant à une compromission du serveur ssh ».
Freund, qui est bénévole en tant que « mainteneur » pour PostgreSQL, une base de données basée sur Linux, a remarqué quelques choses étranges au cours des dernières semaines lors de l’exécution de tests. Les connexions cryptées à liblzma, qui fait partie de la bibliothèque de compression XZ, consommaient une tonne de CPU. Aucun des outils de performance qu’il a utilisés n’a révélé quoi que ce soit, a écrit Freund sur Mastodon. Cela l’a immédiatement rendu méfiant, et il s’est souvenu d’une « étrange plainte » d’un utilisateur de Postgres quelques semaines plus tôt à propos de Valgrind, le programme Linux qui vérifie les erreurs de mémoire.
Après quelques recherches, Freund a finalement découvert ce qui n’allait pas. “Le référentiel xz en amont et les archives xz ont été détournés”, a noté Freund dans son e-mail. Le code malveillant se trouvait dans les versions 5.6.0 et 5.6.1 des outils et bibliothèques xz.
Peu de temps après, la société de logiciels open source d’entreprise Red Hat a envoyé un alerte de sécurité d’urgence pour les utilisateurs de Fedora Rawhide et Fedora Linux 40. Finalement, la société a conclu que la version bêta de Fedora Linux 40 contenait deux versions affectées des bibliothèques xz. Les versions Fedora Rawhide ont probablement également reçu les versions 5.6.0 ou 5.6.1.
VEUILLEZ ARRÊTER IMMÉDIATEMENT L’UTILISATION DE TOUTES INSTANCES FEDORA RAWHIDE à des fins professionnelles ou personnelles. Fedora Rawhide sera prochainement rétabli à xz-5.4.x, et une fois cela fait, les instances de Fedora Rawhide pourront être redéployées en toute sécurité.
Même si une version bêta de Debian, la distribution Linux gratuite, contenait des paquets compromis, son équipe de sécurité agi rapidement pour les inverser. « À l’heure actuelle, aucune version stable de Debian n’est connue pour être affectée », a écrit Salvatore Bonaccorso de Debian dans une alerte de sécurité adressée aux utilisateurs vendredi soir.
Freund a ensuite identifié la personne qui a soumis le code malveillant comme étant l’un des deux principaux développeurs de xz Utils, connu sous le nom de JiaT75 ou Jia Tan. « Compte tenu de l’activité qui s’est déroulée sur plusieurs semaines, soit le responsable du commit est directement impliqué, soit son système a été gravement compromis. Malheureusement, cette dernière semble être l’explication la moins probable, étant donné qu’ils ont communiqué sur diverses listes à propos des « correctifs » mentionnés ci-dessus », a écrit Freund dans son ouvrage. analyseaprès avoir lié plusieurs solutions de contournement proposées par JiaT75.
JiaT75 était un nom familier : ils travaillaient côte à côte avec le développeur original du format de fichier .xz, Lasse Collin, depuis un certain temps. Comme l’a noté le programmeur Russ Cox dans son chronologieJiaT75 a commencé par envoyer des correctifs apparemment légitimes à la liste de diffusion XZ en octobre 2021.
D’autres volets du projet se sont déployés quelques mois plus tard, alors que deux autres identités, Jigar Kumar et Dennis Ens, a commencé à envoyer des plaintes par courrier électronique à Collin à propos des bugs et de la lenteur du développement du projet. Cependant, comme le soulignent les rapports de Evan Boehs et d’autres, “Kumar” et “Ens” n’ont jamais été vus en dehors de la communauté XZ, ce qui a amené les enquêteurs à croire que les deux sont des contrefaçons qui n’existaient que pour aider Jia Tan à se mettre en position de fournir le code détourné.
Un e-mail de « Jigar Kumar » faisant pression sur le développeur de XZ Utils pour qu’il abandonne le contrôle du projet. Image : Capture d’écran de Les archives du courrier
« Je suis désolé pour vos problèmes de santé mentale, mais il est important d’être conscient de vos propres limites. Je comprends qu’il s’agit d’un projet de passe-temps pour tous les contributeurs, mais la communauté désire plus », a écrit Ens dans un message, tandis que Kumar a déclaré dans un autre que « les progrès n’auront pas lieu tant qu’il n’y aura pas de nouveau responsable ».
Au milieu de ces allers-retours, Collins a écrit : « Je n’ai pas perdu tout intérêt, mais ma capacité à prendre soin de moi a été assez limitée, principalement en raison de problèmes de santé mentale à long terme, mais aussi à cause d’autres choses », et a suggéré que Jia Tan prendrait soin de lui. sur un rôle plus important. « Il est également bon de garder à l’esprit qu’il s’agit d’un projet de loisir non rémunéré », a-t-il conclu. Les e-mails de « Kumar » et « Ens » ont continué jusqu’à ce que Tan soit ajouté en tant que responsable plus tard cette année-là, capable d’apporter des modifications et de tenter d’introduire le paquet dérobé dans les distributions Linux avec plus d’autorité.
L’incident de la porte dérobée xz et ses conséquences sont un exemple à la fois de la beauté de l’open source et d’une vulnérabilité frappante de l’infrastructure Internet.
Un développeur derrière FFmpeg, un package multimédia open source populaire, a souligné le problème dans un tweet, déclarant : « Le fiasco de xz a montré à quel point la dépendance à l’égard de bénévoles non rémunérés peut causer des problèmes majeurs. Des entreprises qui génèrent des milliards de dollars attendent un soutien gratuit et urgent de la part des bénévoles. Et ils ont apporté des reçus, soulignant comment ils ont traité un bug « hautement prioritaire » affectant Microsoft Teams.
Malgré la dépendance de Microsoft à l’égard de son logiciel, le développeur écrit : « Après avoir poliment demandé un contrat de support à Microsoft pour une maintenance à long terme, ils ont proposé à la place un paiement unique de quelques milliers de dollars… les investissements dans la maintenance et la durabilité ne sont pas sexy et probablement un cadre intermédiaire n’obtiendra pas sa promotion mais sera récompensé par mille fois sur de nombreuses années.
Des détails sur qui se cache derrière « JiaT75 », comment ils ont exécuté leur plan et l’étendue des dégâts sont découverts par une armée de développeurs et de professionnels de la cybersécurité, à la fois sur les réseaux sociaux et sur les forums en ligne. Mais cela se produit sans le soutien financier direct de nombreuses entreprises et organisations qui bénéficient de la possibilité d’utiliser des logiciels sécurisés.
2024-04-03 02:38:26
1712103508
#Comment #volontaire #empêché #une #porte #dérobée #dexposer #les #systèmes #Linux #dans #monde #entier
