Le chercheur en sécurité Alex Birsan a découvert une faille de sécurité qui lui a permis d’exécuter du code sur des serveurs appartenant à Apple, Microsoft, PayPal et plus de 30 autres sociétés ( via Bleeping Computer ). La faille est relativement simple, et devra être prise en compte par de nombreux développeurs de logiciels.
La technique tire parti d’une astuce relativement simple: remplacer les librairies privées par des librairies modifiées. Lorsque les entreprises créent des programmes, elles utilisent souvent du code open source écrit par d’autres personnes, de sorte qu’elles ne consacrent pas de temps et de ressources à résoudre un problème déjà résolu. Par exemple, j’ai travaillé sur des sites Web qui devaient convertir des fichiers texte en pages Web en temps réel. Au lieu d’écrire du code, mon équipe a trouvé un programme qui l’a fait et l’a intégré à notre site.
Ces programmes accessibles au public peuvent être trouvés sur des référentiels tels que NPM pour NodeJS, PyPi pour Python et RubyGems pour Ruby. Il est à noter que Birsan a découvert que ces référentiels pouvaient être utilisés pour mener à bien cette attaque, mais ce n’est pas limité à ces trois sites.
En plus de ces packages publics, les entreprises implémentent souvent leurs propres librairies privées, qu’elles ne téléchargent pas, mais qu’elles échangent entre leurs propres développeurs. C’est là que Birsan a trouvé la faille. Il a découvert que s’il pouvait trouver les noms des packages privés utilisés par les entreprises (une tâche qui s’est avérée très facile dans la plupart des cas), il pouvait télécharger son propre code dans l’un des référentiels publics du même nom, et les entreprises utiliseraient son code à la place du leur. Non seulement ils téléchargeraient une librairie falsifiée à la place de la bonne, mais ils exécuteraient également le code contenu.
Pour expliquer cela avec un exemple, imaginez que vous avez un document Word sur votre ordinateur, mais lorsque vous êtes allé l’ouvrir, votre ordinateur a dit: «Hé, il y a un autre document Word sur Internet avec le même nom. Je vais ouvrir celui-là à la place. Imaginez maintenant que le document Word puisse alors apporter automatiquement des modifications à votre ordinateur… Ce n’est pas une situation formidable.
Il semble que les entreprises aient considéré que ce problème était grave. Dans son article, Birsan a écrit que la majorité des primes de bogues attribuées étaient fixées au montant maximum autorisé par la politique de chaque programme, et parfois même plus. Pour ceux qui ne sont pas familiers avec ces pratiques, les primes de bogues sont des récompenses que les entreprises versent aux personnes qui découvrent des bogues graves. Plus le bogue est grave, plus ils paieront d’argent.
Selon Birsan, la plupart des entreprises qu’il a contactées à propos de l’exploit ont été en mesure de corriger rapidement leurs systèmes afin de ne plus être vulnérables. Microsoft a même rédigé un livre blanc expliquant comment les administrateurs système peuvent protéger leurs entreprises contre ce type d’attaques, mais il est franchement étonnant qu’il ait fallu autant de temps à quelqu’un pour comprendre que ces grandes entreprises étaient vulnérables à ce type d’attaque. Heureusement, ce n’est pas le type d’histoire qui se termine par la mise à jour immédiate de tous les appareils de votre maison, mais il semble que ce sera une longue semaine pour les administrateurs système qui doivent maintenant changer la façon dont leur entreprise utilise le code public.