Alors que tout le monde profitait des premiers jours de beaux temps, un ingénieur logiciel a utilisé son ingéniosité et sa curiosité pour empêcher une importante cyberattaque et ainsi sauver le monde.
Un héros de l’ombre
Il y a deux semaines, alors que la plupart d'entre nous étaient en train de profiter des premiers vrais rayons de soleil, Andres Freund, un ingénieur allemand de Microsoft âgé de 38 ans, a peut-être sauvé le monde d'une cyberattaque importante. Cet ingénieur logiciel est spécialisé dans le développement de logiciels de base de données open source connus sous le nom de PostgreSQL. Et dans le cadre de ses fonctions, il doit effectuer des contrôles de maintenance réguliers, ce qui nous amène au vendredi 29 mars 2024.
En effectuant ses contrôles de maintenance de routine, Andres Freund a découvert quelque chose d'anormal. L'ingénieur logiciel utilise un outil spécifique appelé SSH pour accéder à des ordinateurs distants sur Internet. Le processus est généralement fluide et transparent, mais il était extrêmement lent ce jour-là. Ce ralentissement a incité l'ingénieur à enquêter sur le problème, ce qui s'est avéré très alarmant. Il a trouvé du code malveillant enfoui dans un progiciel appelé XZ Utils. L'outil compresse et décompresse les données fonctionnant sur le système d'exploitation Linux.
Une menace d’envergure mondiale
Alors que la plupart des outils logiciels sont sensibles aux bugs (en particulier lorsque de nouvelles mises à jour sont déployées), Andres Freund affirme qu'il ne s'agissait pas d'une erreur ou d'un bug. Au lieu de cela, l'ingénieur logiciel pense que la porte dérobée a été intentionnellement placée sur le programme pour semer le chaos. En conséquence, l'attaquant pouvait accéder à la connexion SSH d'un utilisateur et exécuter son code à l'insu de l'utilisateur. L'ingénieur a admis qu'il ne croyait pas ses conclusions initiales, mais après avoir effectué plus de tests et d'analyses, les résultats ont finalement dissipé le doute. Par conséquent, il a partagé ses découvertes avec un groupe de développeurs de logiciels open source pour examiner les conclusions et proposer une solution plausible.
Heureusement, les développeurs ont pu trouver un correctif aux problèmes en quelques heures. Alex Stamos, responsable de la confiance chez SentinelOne, a félicité Andres Freund pour sa découverte et sa rapidité d'action lors d'un entretien avec le New York Times : « Cela aurait pu être la porte dérobée la plus répandue et la plus efficace jamais implantée dans un produit logiciel. »
Les détails sur le pirate informatique à l'origine de cette attaque restent minces, bien que les chercheurs qui se penchent sur la question aient remarqué des changements subtils dans XZ Utils depuis 2022. Cependant, les spécialistes pensent qu'un groupe de pirates informatiques a utilisé le pseudonyme Jia Tan pour infiltrer le système. Les attaquants ont utilisé un stratagème sophistiqué pour gagner lentement la confiance des développeurs, leur permettant finalement de grimper rapidement les échelons, de suggérer du code de programme à devenir des mainteneurs qui examinent et approuvent les changements suggérés.