En faisant quelques tests, un Un ingénieur Microsoft a découvert un code malveillant dans un logiciel utilisé dans la plupart des distributions du système d’exploitation Linux et aurait peut-être sauvé le monde d’un problème massif capable d’affecter simultanément les systèmes de la planète entière.
l’ami d’André identifié fFragments de code malveillant cachés dans deux versions d’un outil de compression de données open source très populaire et utilisé dans presque toutes les principales distributions Linux. La porte dérobée dans xz Utils a été identifiée le 29 mars quelques jours avant que différentes distributions du système d’exploitation open source ne mettent à jour les versions de production de ce système d’exploitation pour intégrer la dernière version de la bibliothèque xz Utils.
Comment en êtes-vous arrivé à la découverte ? Pure curiosité et impatience face à un processus qui prenait plus de temps que prévu. Encore combien de temps? une demi-seconde. Les tests qui ont conduit à la découverte d’Andres Freund ont été réalisés sur une version bêta de Debian, avec des performances plus lentes que prévu lors de l’utilisation de connexions cryptées.
Ô le processus a commencé à prendre 0,8 seconde et à consommer plus de ressources CPU que d’habitude et cela a suffi à l’ingénieur pour se rendre compte que quelque chose n’allait pas et vouloir découvrir pourquoi. Et il l’a découvert. Identifié fragments de code malveillant dans le package utilitaire qui permet laisser une sorte de porte ouverte (porte dérobée) pour de futures attaques sur les systèmes qui l’utilisentavec le potentiel d’affecter l’ensemble de la chaîne de distribution Linux, car il cible une bibliothèque largement utilisée dans cet écosystème.
Une étude plus approfondie de la découverte a déjà révélé que le Un code malveillant a été injecté dans cet « élément » fondamental de plusieurs distributions Linux il y a deux ans.lentement et discrètement.
Les logiciels open source constituent la base de presque tout sur Internet. Ils sont les Systèmes Linux et leurs logiciels et bibliothèques, souvent maintenus par des programmeurs indépendantsqui font bouger le monde numérique, notamment dans l’univers des serveurs et des infrastructures internet.
Des outils aussi complets que xz sont souvent gérés par une petite communauté, voire par une seule personne, comme c’était apparemment le cas. Le « saboteur » du service public a rejoint la communauté en 2021. Depuis lors, il a apporté des contributions apparemment valables à plusieurs projets, et depuis 2022, il a commencé à travailler avec Xz, écrit le Le gardien. C’est le saboteur s’identifie comme étant Jia Tan dans le compte qu’il tient sur Github depuis 2021, ce qui en dit très peu sur la véritable identité de la personne derrière le profil. Il peut s’agir d’un utilisateur individuel, ou d’un groupe au service d’un État, personne ne le sait encore.
Il reste également à voir quel type d’attaque pourrait en résulter, mais ce qui est déjà clair, c’est que le travail a été fait au fil du temps, pour gagner la confiance de la communauté, qui au cours des deux dernières années a eu affaire à un infiltré, avec des fins que personne ne connaît encore.
UN la première tentative de soumission de modifications à xz Utils a été soumise par Jia Tan en 2022 et, selon un rapport d’Ars Technica, cela a même donné lieu à un débat sur le niveau d’implication des programmeurs responsables du projet dans cette tâche et à une certaine pression pour qu’il soit accepté. Cette pression sera venue d’un autre nouveau membre de la communauté.
C’était déjà en février de cette année, le même utilisateur Jia Tan a soumis des modifications à deux versions de Xz Utils (5.6.0 et 5.6.1), qui a introduit la porte dérobée qui a depuis été détectée. Cette vulnérabilité permet à un attaquant de se connecter aux machines exécutant ces versions du logiciel via le protocole SSH et de contourner le processus d’authentification pour prendre le contrôle du système.
Comme il l’a admis dans des déclarations à Politique Anjana Rajan, assistante de la Maison Blanche pour la cybersécurité, “C’est comme une menace interne dans l’écosystème open source, que nous n’avons jamais vue auparavant”. Les faiblesses souvent débattues d’un écosystème ouvert, avec des logiciels que tout le monde peut voir, utiliser, modifier ou distribuer, ont également été des atouts dans l’évolution de Linux, qui s’appuie sur les connaissances de millions de techniciens et profite de nombreux regards pour corriger les erreurs et les pannes et faire évoluer le système.
Cette fois quelqu’un qui, pour de nombreux experts, ne peut avoir que le soutien d’un Étata utilisé cette mécanique pour gagner la confiance de la communauté et profiter des contraintes de temps des bénévoles pour faire progresser Linux.
Ô le problème affecte plusieurs distributions Linux tels que Fedora Rawhide, Fedora 40 Beta, Kali Linux, openSUSE Tumbleweed, openSUSE MicroOS et les distributions expérimentales Debian. UN La solution immédiate consiste à rétrograder la bibliothèque concernée vers les versions précédentes ceux qui ont le problème, même si certains experts affirment que cela ne constitue toujours pas une garantie fiable à 100 % que le problème sera complètement maîtrisé.
Pourtant, le Le fait que cette porte dérobée ait été découverte avant que la version concernée de xz Utils ne soit ajoutée aux versions de production de Linux signifie qu’elle « n’a affecté personne dans la vraie vie ». a déclaré Will Dormann, analyste principal chez Analysgence, à Ars Technica. Le même responsable reconnaît toutefois que si la faille n’avait pas été découverte à ce stade, elle aurait pu avoir des « effets catastrophiques pour le monde ».
2024-04-03 14:05:00
1712149686
#Une #demiseconde #curiosité #dun #ingénieur #ont #sauvé #monde #dune #attaque #Internet #ayant #impact #mondial #Ordinateurs