Vendredi dernier, un ingénieur logiciel de Microsoft, Andres Freund, a détecté la présence d’une porte dérobée dans XZ Utils, une boîte à outils de logiciels libres pour la compression et la décompression de fichiers au format XZ. Cet ensemble de logiciels est est très utilisé dans les systèmes d’exploitation Linux et Unix.
Une intrusion évitée de peu
Andres Freund a découvert par hasard cette backdoor après avoir réalisé un benchmark d’une distribution Debian. Pendant un test, l’ingénieur a déterminé que XZ Utils consommait beaucoup de ressources CPU en lien avec des processus SSH, un protocole de réseau utilisé pour communiquer de manière sécurisée (typiquement, pour l’accès à distance à des serveurs).
Après cette découverte, les éditeurs Red Hat et Debian ont publié une alerte pour prévenir le grand public de cette menace (CVE-2024-3094). Fort heureusement, on a évité le pire : le composant malveillant de XZ Utils n’a pas été intégré dans les versions stables de Red Hat Linux et Debian.
La porte dérobée a cependant trouvé une place dans des distributions Linux en bêta ou expérimentales (Fedora Rawhide, la bêta de Red Hat Fedora 40…). Il est fortement recommandé aux utilisateurs concernés de revenir aux versions précédentes des OS. La backdoor donne les pleins pouvoirs aux pirates pour exécuter du code sur l’ordinateur infecté.
Le conseil a été réitéré par l’agence américain de la cybersécurité et des infrastructures de sécurité (CISA). Autant dire que c’est très sérieux.
L’intégration de la backdoor dans XZ Utils a ceci de remarquable qu’elle est le fait d’un individu répondant au pseudo de Jia Tan, ou JiaT75, qui a patiemment contribué pendant trois ans au développement de la boîte à outils, forgeant ainsi sa crédibilité au sein de la communauté. C’est en février qu’il installe la fameuse porte dérobée, dans les versions 5.6.0 et 5.6.1 de XZ Utils. Le hacker a ensuite fait pression sur Ubuntu, Red Hat et Debian à intégrer la version vérolée dans leurs distributions.
On sait très peu de chose sur Jia Tan, qui a également planché sur d’autres composants importants de Linux. Quoi qu’il en soit, la communauté Linux a eu très peur, et cette histoire pourrait bien la pousser à renforcer la sécurité autour du développement de l’OS.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : ArsTechnica
C’est pas la première fois qu’un dev malveillant se fait choper à vouloir introduire une porte dérobée, et ce ne sera sûrement pas la dernière… Cela étant, et une fois encore, on vise ici un chinois, alors que tout le monde sait parfaitement que le pire acteur du domaine est américain ! C’est toujours les russes ou les chinois les méchants, mais jamais des USA qui espionnent, et aspirent comme des pompes à vide, avec le DOJ qui avait TOUS les emails d’Alstom – on se demande QUI les lui a filé… Comme si le livre de Snowden ou la persécution d’Assange n’existaient pas. Un peu facile, et assez désespérant de niaiserie gratuite pour légumes sur canapés.
Ce n’est franchement pas le sujet ici…
Soit dit en passant il n’est à aucun moment mentionné dans l’article que le dev en question est chinois, ce n’est pas parceque le pseudo utilisé à une consonnance chinoise que le dev l’est. C’est tout aussi idiot que de dire que vous êtes véritablement un koala..