07 avril 2024

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#545 la backdoor XZ : l’énorme problème des dépendances logicielles [podcast NoLimitSecu 8 avril 2024]

la backdoor XZ : l'énorme problème des dépendances logicielles [podcast NoLimitSecu 8 avril 2024]

Si vous vous intéressez aux problèmes actuels de cyber sécurité, vous devez écouter cet épisode de NoLimitSecu consacré à la découverte le 29 mars 2024 d’une « backdoor » (porte dérobée) dans la bibliothèque logicielle open source XZ.

Cette compromission est le résultat d’une opération s’étalant sur près de 3 ans, dont les auteurs ne sont pas identifiés.

Cette backdoor, si elle avait été déployée, aurait eu pour effet de permettre de contourner l’authentification du service SSH (destiné à sécuriser les accès à distance à des serveurs).

La backdoor a été découverte juste avant la généralisation de son déploiement notamment dans Debian « the universal operating system » (une distribution de logiciels libres sous Linux extrêmement répandue) et dans le logiciel « open SSH » , ce qui fait dire à Nicolas RUFF « on est passé pas loin du Big One » .

Morceaux choisis des propos des contributeurs de NoLimitSecu qui détaillent la technique de compromission.

« 3 branches de sophistication » à retenir de cette affaire (Christophe RENARD) :

– l’ingénierie sociale qui a permis à « Jia Tan (JiaT75) » de devenir le mainteneur officielle de cette bibliothèque (library en anglais);

– le déploiement d’un truc « discret » dans le système de « build » d’un open source;

– l’introduction d’une backdoor dans un logiciel open source aussi répandu.

Le caractère « très inquiétant du niveau de détermination et de sophistication » de l’attaque « destinée à gangréner de l’intérieur tout l’écosystème, de manière subtile et lente » (Nicolas RUFF).

Une compromission « fourbe » et « pernicieuse » : « rien dans les codes source ! » (Vladimir KOLLA).

Extraits de la conclusion de Christophe RENARD : « il faut sortir de la logique [selon laquelle] une [unique] mesure de sécurité est porteuse de toute la sécurité d’un système« 

– faites de la sécurité « en profondeur »

– identifiez les « activités anormales » [FuraxFox sait certainement que c’est très précisément une des obligations techniques imposées par le Règlement DORA aux « entités financières »]

– faites un inventaire des machines et (bientôt) des dépendances logicielles

– restez informé(e) en écoutant NoLimitSecu !

PS : Christophe RENARD évoque une possible (voire espérée) évolution législative pour la saine gestion des dépendances logicielles. ça tombe bien, l’UE s’y est mise avec le projet du 15 septembre 2022 de Règlement Cyber Resilience Act !  

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​