Il y a à peine trois jours, le 29 mars 2024, une nouvelle attaque était découverte : elle touchait des logiciels open source qui fait partie des principaux packages Linux, il s'agit Bibliothèque XZ/liblzma, un outil de compression bien connu.
Le chercheur et développeur Andres Freund a découvert que dans les deux dernières versions de Github, connectez-vous à distance, essentiellement un détourné.
De nombreuses distributions Linux sont concernées, parmi lesquelles Kali Linux, Fedora 40, Gentoo et Debian Sid et d'autres.
Considérations à prendre en compte sur ce type d'attaque
Pour commencer, il faut dire que le détourné a été inséré par l'un de ceux qui devaient assurer la maintenance du logiciel sur github, en théorie donc quelqu'un en qui vous devriez pouvoir avoir confiance. C'est un point important car cela mine la confiance dans les logiciels open source, en théorie plus sûrs car ils peuvent être inspectés par quiconque le souhaite (et en est capable), en pratique souvent géré avec un personnel qui ne travaille qu'occasionnellement et qui n'est pas toujours fiable.
La deuxième considération concerne l'une des distributions concernées, Kali Linux. Pour ceux qui ne le savent pas, Kali Linux est considéré comme le système d'exploitation spécialisé pour la cybersécurité car il est doté d'innombrables outils. Un coup dur pour faire confiance à Kali Linux !
La troisième considération concerne le fait que la bibliothèque liblzma est utilisée par de nombreux autres outils, dont OpenSSH. OpenSSH est un autre logiciel open source qui permet à un utilisateur de se connecter à un ordinateur à distance s'il dispose des informations d'identification correctes. Là détourné introduit semble agir précisément sur le processus d'authentification, effectuant un contrôle préventif sur la clé saisie par le hacker et autorisant sa connexion en cas de réponse positive. Cela signifie avoir un accès illimité au système attaqué. Encore une fois, tout cela nuit à la confiance que l’on devrait avoir dans les logiciels de sécurité.
Je pense que pour l’instant il n’y a pas grand-chose d’autre à dire à part que l’accident fait actuellement l’objet d’une enquête et qu’il pourrait y avoir des nouvelles intéressantes sous peu.
Voyons ce qui se passe...
Pour en savoir plus:
- https://www.openwall.com/lists/oss-security/2024/03/29/4
- https://jfrog.com/blog/xz-backdoor-attack-cve-2024-3094-all-you-need-to-...