Quelles leçons tirer d’une cyber-attaque de grande ampleur ?
Le web n’est pas un univers de bisounours, et la lecture du blog de O’Reilly nous en donne l’illustration à chaque lecture. Dans un article récent, Mike Loukides revient sur une cyber-attaque déjouée de justesse, qui aurait pu compromette des millions de sites web dans le monde… L’attaque concernait un composant open-source, la librairie xz utils, qui permet d’effectuer des compressions de fichier sans pertes. L’attaque consistait à introduire une porte dérobée dans cette librairie, utilisée entre autres par Open SSH, une brique assurant la sécurité des accès à un site web.
Des histories de cyber-attaque, il en existe presque tous les jours. Mais dans cette histoire là, deux ou trois faits ont attiré l’attention de Mike Loukides, et mériteraient d’être partagés avec le plus grand nombre de lecteurs.
Patience et longueur de temps
D’abord, le mode opératoire des hackers, qui en disent long sur leur savoir-faire, leur compréhension du monde du logiciel libre et sur leur capacité de travailler sur la durée. Pour introduire les failles dont ils avaient besoin, ces hackers ont commencé par oeuvre pour le bien de tous, en participant à l’élaboration de xz utils, par l’ajout de fonctionnalités et la correction de bug, derrière un identifiant et un compte github parfaitement anodin, Jia Tan alias JiaT75, réalisant plus de mille contributions depuis 2021.
Accusé de ne pas maintenir assez vite son code, le créateur de cette librairie, Lasse Colin, a rajouté Jia Tan a la liste des personnes en charge de la maintenance, ce qui lui a permis d’ajouter de plus en plus de corrections, parfois anodines, mais aussi de supprimer ou de désactiver des batteries de tests. De fait, Jia Tan a adopté la stratégie de cuisson du homard, qu’on introduit dans de l’eau froide qu’on fait chauffer progressivement pour ne pas surprendre l’animal. Il aura fallu de la patience pour que Jia Tan parvienne à ses fins…
D’abord tester, ensuite tester, et pour finir, tester de nouveau
Ce qui aurait pu se produire il y a quelques jours sans la vigilance d’un salarié de Microsoft Allemagne, Andres Freund. Freund s’est rendu compte qu’avec la dernière version de xz utils dont il disposait, certains tests se déroulaient de manière anormalement lente. Il a donc signalé le comportement étrange à Red Hat, en charge des distributions Gnu/Linux, qui a rapidement compris ce qui se passait et a décidé de stopper la diffusion de cette version avant qu’il ne soit trop tard.
De manière assez incroyable, voici donc un composant en charge de la sécurité des échanges sur le web, qui a été vérolé sans que la communauté des experts de la sécurité dans le monde – quelques milliers d’individus et un marché estimé à 3 ou 4 milliards d’euros, sans compter les impacts qui en découlent – ne décèlent rien d’intrigant. Comme dans les films, c’est un anonyme, un salarié lambda de Microsoft, expert de PostgreSQL, qui a découvert le pot aux roses.
Conclusions
Que faut-il retenir de cette affaire ? Plusieurs choses, disais-je en introduction de cet article.
- D’abord, que le monde de la cyber-malveillance est un monde qui sait endormir sa proie, et jouer sur le temps long. Une cyber-attaque de cette ampleur, cela se prépare avec soin et demande des moyens.
- Ensuite, que le monde de la cyber-sécurité peut passer à côté de composants sensibles. Et c’est peut-être ce qu’il y a de plus effrayant dans cette affaire, où l’un des moyens de défense du web a été corrompu sans éveiller de soupçons.
- Enfin, que le monde des testeurs est un monde dont l’univers des développeurs ne saura sans doute jamais se passer. L’IA pourra-t-elle remplacer ces compagnons indispensables à la santé des logiciels produits par ceux que le code passionne ? J’en doute. Dans tout ce qu’a entrepris Jia Tan dans cette affaire, rien ne permettait, semble-t-il, d’incriminer chaque modification élémentaire. Ce n’est que le tout, une fois que les changements avaient été effectués, qui devenait dangereux. Et ce n’est que sur un critère annexe – des performances réduites – que le sentiment que quelque chose ne se passait pas bien a conduit à une enquête.
Découvrez d'autres articles sur ce thème...
Hervé Kabla, ancien patron d’agence de comm’, consultant très digital et cofondateur de la série des livres expliqués à mon boss.
Crédits photo : Yann Gourvennec