#L’affaire XZ Utils : une attaque majeure évitée de justesse

L’affaire XZ Utils a secoué la communauté du logiciel open-source en 2024 avec la découverte d’une porte dérobée dans l’utilitaire de compression XZ, largement utilisé dans les systèmes Linux. L’attaque a été orchestrée par un individu ou un groupe sous le pseudonyme « Jia Tan ». Ce dernier a infiltré l’équipe de développement et a progressivement gagné la confiance des mainteneurs avant d’introduire un code malveillant dans les versions 5.6.0 et 5.6.1 du logiciel. Les distributions Linux affectées comprenaient des systèmes très utilisés comme Fedora, OpenSUSE et Kali Linux​.

L’attaque repose sur une technique de longue haleine où « Jia Tan » a contribué à XZ Utils pendant plus d’un an avant d’obtenir les privilèges nécessaires pour introduire le code malveillant. Le programme modifié ciblait particulièrement le protocole SSH, utilisé pour la connexion à distance des serveurs. Une fois activé, le backdoor permettait à un attaquant possédant une clé spécifique d’exécuter des commandes à distance, avec un accès complet à la machine

L’astuce du code résidait dans sa capacité à rester caché jusqu’à ce qu’il soit activé. Il aurait pu donner à un attaquant le contrôle de milliers de serveurs Linux à travers le monde, y compris ceux utilisés par des infrastructures critiques​. Heureusement, le backdoor a été découvert par hasard par l’ingénieur Andres Freund lors de l’analyse d’une consommation excessive de ressources CPU, permettant ainsi une détection avant une propagation à grande échelle.

Si cette attaque n’avait pas été découverte à temps, les répercussions auraient pu être catastrophiques. Le backdoor aurait pu toucher la majorité des systèmes Linux, affectant des serveurs critiques d’entreprises, des infrastructures cloud, et même des appareils connectés au gouvernement. La vulnérabilité a rapidement été corrigée après sa découverte, évitant ainsi un scénario potentiellement comparable aux célèbres cyberattaques de SolarWinds.

Cependant, cette affaire a soulevé des questions plus larges concernant la sécurité des logiciels open-source. Elle a mis en lumière la dépendance croissante des infrastructures critiques envers des projets souvent maintenus par des bénévoles, soulignant un risque systémique dans la chaîne d’approvisionnement des logiciels.

Suite à la découverte de la porte dérobée, la communauté open-source s’est mobilisée pour corriger les versions vulnérables. Le correctif a été appliqué en quelques heures, et les distributions Linux concernées ont immédiatement retiré les versions infectées de leurs dépôts. Les utilisateurs ont été invités à revenir à des versions antérieures d’XZ Utils ou à appliquer les correctifs publiés.

L’affaire XZ Utils soulève de nouvelles interrogations sur la sécurité des logiciels open-source et sur la résilience des chaînes d’approvisionnement. Alors que ces projets sont cruciaux pour de nombreuses entreprises et gouvernements, ils reposent souvent sur des équipes de bénévoles, vulnérables aux attaques complexes de type ingénierie sociale. À l’avenir, des efforts concertés seront nécessaires pour renforcer la sécurité des projets open-source, notamment par des audits plus fréquents, un soutien financier accru et une meilleure sensibilisation aux risques.

Cette affaire rappelle que la cybersécurité doit être une priorité, même pour des composants apparemment banals, car chaque maillon faible peut compromettre une chaîne entière.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Filed under: #Actu Cyber,#Sécurité - @ 13 septembre 2024 9h53