Faille XZ Utils sous Linux : La sécurité de l’open source une nouvelle fois en question ?

Le succès d’une technologie se mesure aussi à l’impact qu’engendre la découverte d’une vulnérabilité. Évidemment, quand la faille touche une bibliothèque au cœur de bien des distributions Linux, c’est la panique générale… Mais quand la faille est intentionnelle, l’incompréhension se mêle à l’affolement.

À l’instar de la faille Log4Shell au sein de la librairie Log4J, il y a plus de 2 ans, toute vulnérabilité dans une bibliothèque open source met le monde IT en émois et les RSSI en panique. Et, à chaque fois, de nombreux observateurs s’interrogent de concert sur la sécurité (sous-entendu « ou pas ») de l’open source. Alors quand la faille n’est pas un bug involontaire mais une porte dérobée volontairement introduite, la symphonie devient cacophonique…

Vendredi dernier, alors même que le Forum InCyber démontait ses stands après 3 journées de débats autour de la cybersécurité, un développeur chez Microsoft lançait une véritable bombe : il venait de découvrir – par hasard, en investiguant un problème de performance – que l’utilitaire de compression de données XZ Utils, intégré dans bien des distributions Linux, embarquait une « backdoor » volontairement introduite par un contributeur. Et ceci, alors même que la bibliothèque incriminée était envisagée pour intégrer Debian et Red Hat !

Une nouvelle attaque sur la Supply Chain logicielle

Pour l’expert cyber Filippo Valsorda, « il s’agit peut-être de l’attaque sur la chaîne d’approvisionnement la mieux exécutée que nous ayons vue décrite au grand jour, et c’est un scénario cauchemardesque : une personne malveillante, compétente et autorisée en amont dans une bibliothèque largement utilisée ».

Pour faire simple, un développeur contributeur du monde open-source a volontairement perverti une bibliothèque open-source ultra populaire et y a installé une porte dérobée aux yeux de tous sans se faire remarquer !

L’histoire fait plus que froid dans le dos quand on prend conscience de la découverte totalement hasardeuse de cette backdoor. Son découvreur reconnaît lui-même qu’ « il a fallu beaucoup de coïncidences » pour qu’il tombe sur cette découverte. « Nous avons été déraisonnablement chanceux sur ce coup-là » !

Sur les réseaux sociaux, nombreux sont ceux, à l’instar de Thomas Vondra de Fosstodon qui s’inquiètent et se demandent « si cet attaquant – et d’autres – n’ont pas injecté d’autres portes dérobées dans d’autres librairies open-source apparemment ennuyeuses… »

Un monde open source invité à se remettre en question

L’affaire met en lumière les réalités du monde open source, parfois très éloignées du monde idéalisé par certains. Elle éclaire la responsabilité des « maintainers » et la pression qui pèse sur leurs épaules alors que nombre d’entre eux ne sont même pas rémunérés.

L’histoire semble en effet avoir démarré il y a deux ans. Un développeur (probablement complice de l’attaquant) pose une question sur une bibliothèque et la nécessité de la faire vivre. Le « Maintainer » reconnaît qu’il est débordé et n’a pas de temps pour s’en occuper. Un complice met la pression sur le « Maintainer » réclamant des mises à jour. L’attaquant lui propose alors son aide. Puis s’inscrit dans une démarche à long terme afin d’implémenter petit à petit tout le code malveillant accompagnant la porte dérobée qu’il a insérée au fil des mises à jour. D’abord acquérir la confiance, puis agir une fois la confiance acquise. Sans précipitation.

« Les mainteneurs de projets open-source populaires ont un travail incroyablement stressant, souvent (généralement ?) sans rémunération. Cette situation s’est aujourd’hui transformée en cyberarme » résume Christophe de PGexperts.

La porte dérobée est ainsi présente dans les codes sources de XZ Utils, et donc dans les distributions Linux qui l’intègrent, depuis Février 2023 ! C’est notamment le cas de Fedora, OpenSUSE, Kali Linux et Arch Linux. Apparemment, les dégâts sont limités parce que seules les distributions non-stabilisées semblent être affectées. La porte dérobée permet d’exécuter à distance du code malveillant avec élévation de privilèges. L’agence américaine de cybersécurité CISA conseille aux développeurs de rétrograder XZ Utils vers une version propre (v 5.4.x) et de vérifier que leurs systèmes ne présentent pas d’activités malveillantes. Une bonne pratique permet toutefois de s’en protéger : interdire toute utilisation du protocole SSH à travers Internet…

Reste que l’on va très probablement longtemps entendre parler de cette histoire. D’abord parce que bien peu d’entreprises ont mis en place les plateformes nécessaires pour savoir quelles sont les librairies (open source ou pas) utilisées en production. Et donc très peu d’entreprises sont capables de rapidement repérer les librairies vulnérables qu’elles utilisent.
Ensuite parce qu’elle remet en cause à la fois les principes de validation des codes et le fonctionnement de bien des chaînes d’assemblage logiciel de l’univers open-source.
Enfin parce qu’elle éclaire une nouvelle fois l’intelligence et la compétence de cyber-attaquants capables de construire une attaque sur le très long terme sans recherche de retours immédiats.

À LIRE AUSSI :

RH

Attaques de la Supply Chain : Comment les cybercriminels exploitent la confiance qui existe entre les organisations ?

La rédaction

11 Mar

À LIRE AUSSI :

Les Matinales

70% de la supply chain nécessite une refonte du SI

Alessandro Ciolek

29 Mai

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !