La faille de sécurité dans XZ Utils sous Linux met en évidence un problème plus large de sécurité de la chaîne d'approvisionnement. Pour y remédier, il est nécessaire d'aller au-delà de l'esprit communautaire.
La découverte d'une violation malveillante de la chaîne logistique des logiciels a une nouvelle fois mis le secteur de la cybersécurité en état d'alerte. Cette vulnérabilité, qui affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux, est répertoriée sous le numéro CVE-2024-3094. Elle résulte en fin de compte de l'insertion délibérée d'une porte dérobée par un administrateur système bénévole qui était jusqu'alors considéré comme fiable. Si elle est exploitée avec succès, elle peut permettre l'exécution de code à distance. (RCE), ce qui pourrait gravement compromettre le processus de compilation des logiciels existants.
Heureusement, un autre administrateur a détecté cette menace avant que le code malveillant ne pénètre dans une version stable de Linux, mais cela reste un problème pour les utilisateurs qui ont commencé à exécuter les versions 5.6.0 et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, et les organisations doivent appliquer les correctifs de toute urgence.Si cette découverte n'avait pas été faite à temps, le profil de risque aurait probablement été tel que cette attaque aurait été considérée comme l'une des plus destructrices jamais enregistrées, surpassant même celle de SolarWinds.
Le recours à des bénévoles de la communauté pour maintenir des systèmes critiques est largement documenté, mais rarement discuté jusqu'à ce qu'un problème aussi important que celui-ci fasse surface. Leurs efforts inlassables sont essentiels au maintien des logiciels open source, mais cela met en évidence la nécessité de renforcer le contrôle d'accès aux référentiels logiciels, sans parler de l'importance de mettre l'accent sur les techniques et la sensibilisation à la sécurité au niveau des développeurs.
Qu'est-ce que XZ Utils Backdoor et comment peut-on le contrer ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente. Elle visait à informer les utilisateurs de Fedora Linux 4.0 et Fedora Rawhide que la dernière version de l'outil de compression « XZ » et de la bibliothèque contenait un code malveillant qui semblait avoir été spécialement conçu pour faciliter l'accès non autorisé de tiers. La manière dont ce code malveillant a été introduit fera l'objet d'une étude approfondie. Cependant, il s'agit d'une pratique d'ingénierie sociale sophistiquée et patiente, menée depuis plusieurs années par un acteur malveillant utilisant un pseudonyme. L'attaquant, connu sous le nom de « Gia Tan », a passé plus de deux ans à contribuer légitimement au projet et à la communauté XZ Utils, gagnant ainsi la confiance des autres responsables de maintenance. Grâce à plusieurs comptes fictifs, il a fini par obtenir le statut d'« administrateur de confiance » après avoir sapé la confiance de Lasse Collin, propriétaire du projet bénévole.
Ce scénario inhabituel illustre parfaitement comment des personnes hautement qualifiées sur le plan technique peuvent devenir les victimes de tactiques utilisées à l'encontre de personnes généralement peu informées, ce qui démontre la nécessité d'une formation précise et axée sur les rôles en matière de sécurité. Ce n'est que grâce à la curiosité et à la vivacité d'esprit d'un ingénieur logiciel Microsoft et d'un administrateur PostgreSQL que le backdoor Andresa été découvert et que la version a été rétrogradée, empêchant ainsi ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus destructrice de l'histoire récente.
La porte dérobée elle-même est officiellement considérée comme la vulnérabilité la plus grave possible. Registre NIST. Initialement, on pensait qu'elle permettrait de contourner l'authentification SSH, mais des investigations supplémentaires ont révélé qu'elle permettait l'exécution de code à distance non authentifié sur des systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir déployé des efforts considérables pour identifier les paquets malveillants. Ces paquets malveillants, lorsqu'ils sont déclenchés pour se configurer eux-mêmes pendant le processus de compilation, interfèrent avec l'authentification SSHD via systemd. Pour clar ifier, dans certaines circonstances, cette interférence permet potentiellement à un attaquant de contourner l'authentification SSHD et d'obtenir un accès non autorisé à distance à l'ensemble du système.
Microsoft a publié des directives complètes pour rechercher les instances d'exploitation et atténuer leur impact, ainsi que les mesures immédiates recommandées par les agences suivantes. Les développeurs et utilisateurs concernés par la CISA doivent rétrograder XZ Utils vers une version non compromise, telle que XZ Utils 5.4.6 Stable.
Il est extrêmement difficile de prévenir ce type d'attaque. En effet, il est particulièrement difficile de prévenir ce type d'attaque, notamment lorsque des composants open source sont utilisés dans les logiciels, car il est difficile d'avoir une certitude et une transparence quant à la sécurité de la chaîne d'approvisionnement. Nous avons déjà corrigé des vulnérabilités accidentelles dans la chaîne d'approvisionnement logicielle, mais il s'avère que ces risques incluent des bogues de sécurité implantés intentionnellement dans le but de compromettre la sécurité open source.
La plupart des développeurs sont très conscients des questions de sécurité, possèdent de solides connaissances en la matière et ne sont pas particulièrement paranoïaques, ce qui ne leur permet pas de se prémunir contre ce type d'attaques. Il faut presque adopter la mentalité des acteurs malveillants. Cependant, les considérations les plus importantes doivent toujours être centrées sur les référentiels de code source suivants. Il est contrôlé en interne (c'est-à-dire qu'il n'est pas open source). Ces informations ne doivent être accessibles qu'aux personnes disposant des compétences de sécurité appropriées et vérifiées. Les experts en sécurité des applications peuvent envisager des paramètres tels que des contrôles de sécurité au niveau des branches, qui permettent uniquement aux développeurs expérimentés en matière de sécurité de valider les modifications dans la branche principale.
Les responsables de maintenance bénévoles sont des héros, mais maintenir la sécurité des logiciels nécessite beaucoup d'efforts.
Pour ceux qui ne sont pas familiers avec le domaine du génie logiciel, il peut être difficile de comprendre le concept selon lequel une communauté dynamique de bénévoles consacre son temps à la maintenance de systèmes critiques. Cependant, c'est une caractéristique du développement open source qui reste une préoccupation majeure pour les professionnels de la sécurité chargés de protéger la chaîne d'approvisionnement.
Les logiciels open source occupent une place importante dans l'écosystème numérique de presque toutes les entreprises. Les mainteneurs de confiance (qui agissent pour la plupart de bonne foi) sont de véritables héros qui poursuivent sans relâche le progrès technologique et l'intégrité, mais il serait absurde de continuer à les laisser isolés.À l'ère du DevSecOps, la sécurité est une responsabilité partagée, et tous les développeurs doivent disposer des connaissances et des outils appropriés pour résoudre les problèmes de sécurité qui peuvent survenir dans le cadre de leur travail. La sensibilisation à la sécurité et les compétences pratiques doivent être irréprochables dans le processus de développement logiciel, et il incombe aux responsables de la sécurité d'influencer le changement au niveau de l'entreprise.
Bâtissez une culture de la sécurité florissante au sein de votre organisation en vous appuyant sur des informations approfondies. Programme de formation Par Secure Code Warrior.
Une vulnérabilité grave, CVE-2024-3094, a été identifiée dans la bibliothèque de compression de données XZ Utils utilisée par les principales distributions Linux. Cette vulnérabilité a été introduite par un acteur malveillant via une porte dérobée.Ce problème, considéré comme très grave, présente un risque sérieux pour le processus de compilation des logiciels, car il permet l'exécution potentielle de code à distance. Cette vulnérabilité affecte les versions initiales (5.6.0 et 5.6.1) de XZ Utils présentes dans Fedora Rawhide. et nous demandons instamment aux organisations de mettre en œuvre le correctif. Cet incident souligne le rôle essentiel des bénévoles de la communauté dans la maintenance des logiciels open source et met en évidence la nécessité de pratiques de sécurité et de contrôles d'accès améliorés dans le cycle de vie du développement logiciel.
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
La découverte d'une violation malveillante de la chaîne logistique des logiciels a une nouvelle fois mis le secteur de la cybersécurité en état d'alerte. Cette vulnérabilité, qui affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux, est répertoriée sous le numéro CVE-2024-3094. Elle résulte en fin de compte de l'insertion délibérée d'une porte dérobée par un administrateur système bénévole qui était jusqu'alors considéré comme fiable. Si elle est exploitée avec succès, elle peut permettre l'exécution de code à distance. (RCE), ce qui pourrait gravement compromettre le processus de compilation des logiciels existants.
Heureusement, un autre administrateur a détecté cette menace avant que le code malveillant ne pénètre dans une version stable de Linux, mais cela reste un problème pour les utilisateurs qui ont commencé à exécuter les versions 5.6.0 et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, et les organisations doivent appliquer les correctifs de toute urgence.Si cette découverte n'avait pas été faite à temps, le profil de risque aurait probablement été tel que cette attaque aurait été considérée comme l'une des plus destructrices jamais enregistrées, surpassant même celle de SolarWinds.
Le recours à des bénévoles de la communauté pour maintenir des systèmes critiques est largement documenté, mais rarement discuté jusqu'à ce qu'un problème aussi important que celui-ci fasse surface. Leurs efforts inlassables sont essentiels au maintien des logiciels open source, mais cela met en évidence la nécessité de renforcer le contrôle d'accès aux référentiels logiciels, sans parler de l'importance de mettre l'accent sur les techniques et la sensibilisation à la sécurité au niveau des développeurs.
Qu'est-ce que XZ Utils Backdoor et comment peut-on le contrer ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente. Elle visait à informer les utilisateurs de Fedora Linux 4.0 et Fedora Rawhide que la dernière version de l'outil de compression « XZ » et de la bibliothèque contenait un code malveillant qui semblait avoir été spécialement conçu pour faciliter l'accès non autorisé de tiers. La manière dont ce code malveillant a été introduit fera l'objet d'une étude approfondie. Cependant, il s'agit d'une pratique d'ingénierie sociale sophistiquée et patiente, menée depuis plusieurs années par un acteur malveillant utilisant un pseudonyme. L'attaquant, connu sous le nom de « Gia Tan », a passé plus de deux ans à contribuer légitimement au projet et à la communauté XZ Utils, gagnant ainsi la confiance des autres responsables de maintenance. Grâce à plusieurs comptes fictifs, il a fini par obtenir le statut d'« administrateur de confiance » après avoir sapé la confiance de Lasse Collin, propriétaire du projet bénévole.
Ce scénario inhabituel illustre parfaitement comment des personnes hautement qualifiées sur le plan technique peuvent devenir les victimes de tactiques utilisées à l'encontre de personnes généralement peu informées, ce qui démontre la nécessité d'une formation précise et axée sur les rôles en matière de sécurité. Ce n'est que grâce à la curiosité et à la vivacité d'esprit d'un ingénieur logiciel Microsoft et d'un administrateur PostgreSQL que le backdoor Andresa été découvert et que la version a été rétrogradée, empêchant ainsi ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus destructrice de l'histoire récente.
La porte dérobée elle-même est officiellement considérée comme la vulnérabilité la plus grave possible. Registre NIST. Initialement, on pensait qu'elle permettrait de contourner l'authentification SSH, mais des investigations supplémentaires ont révélé qu'elle permettait l'exécution de code à distance non authentifié sur des systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir déployé des efforts considérables pour identifier les paquets malveillants. Ces paquets malveillants, lorsqu'ils sont déclenchés pour se configurer eux-mêmes pendant le processus de compilation, interfèrent avec l'authentification SSHD via systemd. Pour clar ifier, dans certaines circonstances, cette interférence permet potentiellement à un attaquant de contourner l'authentification SSHD et d'obtenir un accès non autorisé à distance à l'ensemble du système.
Microsoft a publié des directives complètes pour rechercher les instances d'exploitation et atténuer leur impact, ainsi que les mesures immédiates recommandées par les agences suivantes. Les développeurs et utilisateurs concernés par la CISA doivent rétrograder XZ Utils vers une version non compromise, telle que XZ Utils 5.4.6 Stable.
Il est extrêmement difficile de prévenir ce type d'attaque. En effet, il est particulièrement difficile de prévenir ce type d'attaque, notamment lorsque des composants open source sont utilisés dans les logiciels, car il est difficile d'avoir une certitude et une transparence quant à la sécurité de la chaîne d'approvisionnement. Nous avons déjà corrigé des vulnérabilités accidentelles dans la chaîne d'approvisionnement logicielle, mais il s'avère que ces risques incluent des bogues de sécurité implantés intentionnellement dans le but de compromettre la sécurité open source.
La plupart des développeurs sont très conscients des questions de sécurité, possèdent de solides connaissances en la matière et ne sont pas particulièrement paranoïaques, ce qui ne leur permet pas de se prémunir contre ce type d'attaques. Il faut presque adopter la mentalité des acteurs malveillants. Cependant, les considérations les plus importantes doivent toujours être centrées sur les référentiels de code source suivants. Il est contrôlé en interne (c'est-à-dire qu'il n'est pas open source). Ces informations ne doivent être accessibles qu'aux personnes disposant des compétences de sécurité appropriées et vérifiées. Les experts en sécurité des applications peuvent envisager des paramètres tels que des contrôles de sécurité au niveau des branches, qui permettent uniquement aux développeurs expérimentés en matière de sécurité de valider les modifications dans la branche principale.
Les responsables de maintenance bénévoles sont des héros, mais maintenir la sécurité des logiciels nécessite beaucoup d'efforts.
Pour ceux qui ne sont pas familiers avec le domaine du génie logiciel, il peut être difficile de comprendre le concept selon lequel une communauté dynamique de bénévoles consacre son temps à la maintenance de systèmes critiques. Cependant, c'est une caractéristique du développement open source qui reste une préoccupation majeure pour les professionnels de la sécurité chargés de protéger la chaîne d'approvisionnement.
Les logiciels open source occupent une place importante dans l'écosystème numérique de presque toutes les entreprises. Les mainteneurs de confiance (qui agissent pour la plupart de bonne foi) sont de véritables héros qui poursuivent sans relâche le progrès technologique et l'intégrité, mais il serait absurde de continuer à les laisser isolés.À l'ère du DevSecOps, la sécurité est une responsabilité partagée, et tous les développeurs doivent disposer des connaissances et des outils appropriés pour résoudre les problèmes de sécurité qui peuvent survenir dans le cadre de leur travail. La sensibilisation à la sécurité et les compétences pratiques doivent être irréprochables dans le processus de développement logiciel, et il incombe aux responsables de la sécurité d'influencer le changement au niveau de l'entreprise.
Bâtissez une culture de la sécurité florissante au sein de votre organisation en vous appuyant sur des informations approfondies. Programme de formation Par Secure Code Warrior.
La découverte d'une violation malveillante de la chaîne logistique des logiciels a une nouvelle fois mis le secteur de la cybersécurité en état d'alerte. Cette vulnérabilité, qui affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux, est répertoriée sous le numéro CVE-2024-3094. Elle résulte en fin de compte de l'insertion délibérée d'une porte dérobée par un administrateur système bénévole qui était jusqu'alors considéré comme fiable. Si elle est exploitée avec succès, elle peut permettre l'exécution de code à distance. (RCE), ce qui pourrait gravement compromettre le processus de compilation des logiciels existants.
Heureusement, un autre administrateur a détecté cette menace avant que le code malveillant ne pénètre dans une version stable de Linux, mais cela reste un problème pour les utilisateurs qui ont commencé à exécuter les versions 5.6.0 et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, et les organisations doivent appliquer les correctifs de toute urgence.Si cette découverte n'avait pas été faite à temps, le profil de risque aurait probablement été tel que cette attaque aurait été considérée comme l'une des plus destructrices jamais enregistrées, surpassant même celle de SolarWinds.
Le recours à des bénévoles de la communauté pour maintenir des systèmes critiques est largement documenté, mais rarement discuté jusqu'à ce qu'un problème aussi important que celui-ci fasse surface. Leurs efforts inlassables sont essentiels au maintien des logiciels open source, mais cela met en évidence la nécessité de renforcer le contrôle d'accès aux référentiels logiciels, sans parler de l'importance de mettre l'accent sur les techniques et la sensibilisation à la sécurité au niveau des développeurs.
Qu'est-ce que XZ Utils Backdoor et comment peut-on le contrer ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente. Elle visait à informer les utilisateurs de Fedora Linux 4.0 et Fedora Rawhide que la dernière version de l'outil de compression « XZ » et de la bibliothèque contenait un code malveillant qui semblait avoir été spécialement conçu pour faciliter l'accès non autorisé de tiers. La manière dont ce code malveillant a été introduit fera l'objet d'une étude approfondie. Cependant, il s'agit d'une pratique d'ingénierie sociale sophistiquée et patiente, menée depuis plusieurs années par un acteur malveillant utilisant un pseudonyme. L'attaquant, connu sous le nom de « Gia Tan », a passé plus de deux ans à contribuer légitimement au projet et à la communauté XZ Utils, gagnant ainsi la confiance des autres responsables de maintenance. Grâce à plusieurs comptes fictifs, il a fini par obtenir le statut d'« administrateur de confiance » après avoir sapé la confiance de Lasse Collin, propriétaire du projet bénévole.
Ce scénario inhabituel illustre parfaitement comment des personnes hautement qualifiées sur le plan technique peuvent devenir les victimes de tactiques utilisées à l'encontre de personnes généralement peu informées, ce qui démontre la nécessité d'une formation précise et axée sur les rôles en matière de sécurité. Ce n'est que grâce à la curiosité et à la vivacité d'esprit d'un ingénieur logiciel Microsoft et d'un administrateur PostgreSQL que le backdoor Andresa été découvert et que la version a été rétrogradée, empêchant ainsi ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus destructrice de l'histoire récente.
La porte dérobée elle-même est officiellement considérée comme la vulnérabilité la plus grave possible. Registre NIST. Initialement, on pensait qu'elle permettrait de contourner l'authentification SSH, mais des investigations supplémentaires ont révélé qu'elle permettait l'exécution de code à distance non authentifié sur des systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir déployé des efforts considérables pour identifier les paquets malveillants. Ces paquets malveillants, lorsqu'ils sont déclenchés pour se configurer eux-mêmes pendant le processus de compilation, interfèrent avec l'authentification SSHD via systemd. Pour clar ifier, dans certaines circonstances, cette interférence permet potentiellement à un attaquant de contourner l'authentification SSHD et d'obtenir un accès non autorisé à distance à l'ensemble du système.
Microsoft a publié des directives complètes pour rechercher les instances d'exploitation et atténuer leur impact, ainsi que les mesures immédiates recommandées par les agences suivantes. Les développeurs et utilisateurs concernés par la CISA doivent rétrograder XZ Utils vers une version non compromise, telle que XZ Utils 5.4.6 Stable.
Il est extrêmement difficile de prévenir ce type d'attaque. En effet, il est particulièrement difficile de prévenir ce type d'attaque, notamment lorsque des composants open source sont utilisés dans les logiciels, car il est difficile d'avoir une certitude et une transparence quant à la sécurité de la chaîne d'approvisionnement. Nous avons déjà corrigé des vulnérabilités accidentelles dans la chaîne d'approvisionnement logicielle, mais il s'avère que ces risques incluent des bogues de sécurité implantés intentionnellement dans le but de compromettre la sécurité open source.
La plupart des développeurs sont très conscients des questions de sécurité, possèdent de solides connaissances en la matière et ne sont pas particulièrement paranoïaques, ce qui ne leur permet pas de se prémunir contre ce type d'attaques. Il faut presque adopter la mentalité des acteurs malveillants. Cependant, les considérations les plus importantes doivent toujours être centrées sur les référentiels de code source suivants. Il est contrôlé en interne (c'est-à-dire qu'il n'est pas open source). Ces informations ne doivent être accessibles qu'aux personnes disposant des compétences de sécurité appropriées et vérifiées. Les experts en sécurité des applications peuvent envisager des paramètres tels que des contrôles de sécurité au niveau des branches, qui permettent uniquement aux développeurs expérimentés en matière de sécurité de valider les modifications dans la branche principale.
Les responsables de maintenance bénévoles sont des héros, mais maintenir la sécurité des logiciels nécessite beaucoup d'efforts.
Pour ceux qui ne sont pas familiers avec le domaine du génie logiciel, il peut être difficile de comprendre le concept selon lequel une communauté dynamique de bénévoles consacre son temps à la maintenance de systèmes critiques. Cependant, c'est une caractéristique du développement open source qui reste une préoccupation majeure pour les professionnels de la sécurité chargés de protéger la chaîne d'approvisionnement.
Les logiciels open source occupent une place importante dans l'écosystème numérique de presque toutes les entreprises. Les mainteneurs de confiance (qui agissent pour la plupart de bonne foi) sont de véritables héros qui poursuivent sans relâche le progrès technologique et l'intégrité, mais il serait absurde de continuer à les laisser isolés.À l'ère du DevSecOps, la sécurité est une responsabilité partagée, et tous les développeurs doivent disposer des connaissances et des outils appropriés pour résoudre les problèmes de sécurité qui peuvent survenir dans le cadre de leur travail. La sensibilisation à la sécurité et les compétences pratiques doivent être irréprochables dans le processus de développement logiciel, et il incombe aux responsables de la sécurité d'influencer le changement au niveau de l'entreprise.
Bâtissez une culture de la sécurité florissante au sein de votre organisation en vous appuyant sur des informations approfondies. Programme de formation Par Secure Code Warrior.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
La découverte d'une violation malveillante de la chaîne logistique des logiciels a une nouvelle fois mis le secteur de la cybersécurité en état d'alerte. Cette vulnérabilité, qui affecte la bibliothèque de compression de données XZ Utils fournie avec les principales distributions Linux, est répertoriée sous le numéro CVE-2024-3094. Elle résulte en fin de compte de l'insertion délibérée d'une porte dérobée par un administrateur système bénévole qui était jusqu'alors considéré comme fiable. Si elle est exploitée avec succès, elle peut permettre l'exécution de code à distance. (RCE), ce qui pourrait gravement compromettre le processus de compilation des logiciels existants.
Heureusement, un autre administrateur a détecté cette menace avant que le code malveillant ne pénètre dans une version stable de Linux, mais cela reste un problème pour les utilisateurs qui ont commencé à exécuter les versions 5.6.0 et 5.6.1 de XZ Utils dans le cadre de Fedora Rawhide, et les organisations doivent appliquer les correctifs de toute urgence.Si cette découverte n'avait pas été faite à temps, le profil de risque aurait probablement été tel que cette attaque aurait été considérée comme l'une des plus destructrices jamais enregistrées, surpassant même celle de SolarWinds.
Le recours à des bénévoles de la communauté pour maintenir des systèmes critiques est largement documenté, mais rarement discuté jusqu'à ce qu'un problème aussi important que celui-ci fasse surface. Leurs efforts inlassables sont essentiels au maintien des logiciels open source, mais cela met en évidence la nécessité de renforcer le contrôle d'accès aux référentiels logiciels, sans parler de l'importance de mettre l'accent sur les techniques et la sensibilisation à la sécurité au niveau des développeurs.
Qu'est-ce que XZ Utils Backdoor et comment peut-on le contrer ?
Le 29 mars, Red Hat a publié une alerte de sécurité urgente. Elle visait à informer les utilisateurs de Fedora Linux 4.0 et Fedora Rawhide que la dernière version de l'outil de compression « XZ » et de la bibliothèque contenait un code malveillant qui semblait avoir été spécialement conçu pour faciliter l'accès non autorisé de tiers. La manière dont ce code malveillant a été introduit fera l'objet d'une étude approfondie. Cependant, il s'agit d'une pratique d'ingénierie sociale sophistiquée et patiente, menée depuis plusieurs années par un acteur malveillant utilisant un pseudonyme. L'attaquant, connu sous le nom de « Gia Tan », a passé plus de deux ans à contribuer légitimement au projet et à la communauté XZ Utils, gagnant ainsi la confiance des autres responsables de maintenance. Grâce à plusieurs comptes fictifs, il a fini par obtenir le statut d'« administrateur de confiance » après avoir sapé la confiance de Lasse Collin, propriétaire du projet bénévole.
Ce scénario inhabituel illustre parfaitement comment des personnes hautement qualifiées sur le plan technique peuvent devenir les victimes de tactiques utilisées à l'encontre de personnes généralement peu informées, ce qui démontre la nécessité d'une formation précise et axée sur les rôles en matière de sécurité. Ce n'est que grâce à la curiosité et à la vivacité d'esprit d'un ingénieur logiciel Microsoft et d'un administrateur PostgreSQL que le backdoor Andresa été découvert et que la version a été rétrogradée, empêchant ainsi ce qui aurait pu être l'attaque de chaîne d'approvisionnement la plus destructrice de l'histoire récente.
La porte dérobée elle-même est officiellement considérée comme la vulnérabilité la plus grave possible. Registre NIST. Initialement, on pensait qu'elle permettrait de contourner l'authentification SSH, mais des investigations supplémentaires ont révélé qu'elle permettait l'exécution de code à distance non authentifié sur des systèmes Linux vulnérables, notamment Fedora Rawhide, Fedora 41, Kali Linux, OpenSUSE Micro OS, OpenSUSE Tumbleweed et certaines versions de Debian.
Jia Tan semble avoir déployé des efforts considérables pour identifier les paquets malveillants. Ces paquets malveillants, lorsqu'ils sont déclenchés pour se configurer eux-mêmes pendant le processus de compilation, interfèrent avec l'authentification SSHD via systemd. Pour clar ifier, dans certaines circonstances, cette interférence permet potentiellement à un attaquant de contourner l'authentification SSHD et d'obtenir un accès non autorisé à distance à l'ensemble du système.
Microsoft a publié des directives complètes pour rechercher les instances d'exploitation et atténuer leur impact, ainsi que les mesures immédiates recommandées par les agences suivantes. Les développeurs et utilisateurs concernés par la CISA doivent rétrograder XZ Utils vers une version non compromise, telle que XZ Utils 5.4.6 Stable.
Il est extrêmement difficile de prévenir ce type d'attaque. En effet, il est particulièrement difficile de prévenir ce type d'attaque, notamment lorsque des composants open source sont utilisés dans les logiciels, car il est difficile d'avoir une certitude et une transparence quant à la sécurité de la chaîne d'approvisionnement. Nous avons déjà corrigé des vulnérabilités accidentelles dans la chaîne d'approvisionnement logicielle, mais il s'avère que ces risques incluent des bogues de sécurité implantés intentionnellement dans le but de compromettre la sécurité open source.
La plupart des développeurs sont très conscients des questions de sécurité, possèdent de solides connaissances en la matière et ne sont pas particulièrement paranoïaques, ce qui ne leur permet pas de se prémunir contre ce type d'attaques. Il faut presque adopter la mentalité des acteurs malveillants. Cependant, les considérations les plus importantes doivent toujours être centrées sur les référentiels de code source suivants. Il est contrôlé en interne (c'est-à-dire qu'il n'est pas open source). Ces informations ne doivent être accessibles qu'aux personnes disposant des compétences de sécurité appropriées et vérifiées. Les experts en sécurité des applications peuvent envisager des paramètres tels que des contrôles de sécurité au niveau des branches, qui permettent uniquement aux développeurs expérimentés en matière de sécurité de valider les modifications dans la branche principale.
Les responsables de maintenance bénévoles sont des héros, mais maintenir la sécurité des logiciels nécessite beaucoup d'efforts.
Pour ceux qui ne sont pas familiers avec le domaine du génie logiciel, il peut être difficile de comprendre le concept selon lequel une communauté dynamique de bénévoles consacre son temps à la maintenance de systèmes critiques. Cependant, c'est une caractéristique du développement open source qui reste une préoccupation majeure pour les professionnels de la sécurité chargés de protéger la chaîne d'approvisionnement.
Les logiciels open source occupent une place importante dans l'écosystème numérique de presque toutes les entreprises. Les mainteneurs de confiance (qui agissent pour la plupart de bonne foi) sont de véritables héros qui poursuivent sans relâche le progrès technologique et l'intégrité, mais il serait absurde de continuer à les laisser isolés.À l'ère du DevSecOps, la sécurité est une responsabilité partagée, et tous les développeurs doivent disposer des connaissances et des outils appropriés pour résoudre les problèmes de sécurité qui peuvent survenir dans le cadre de leur travail. La sensibilisation à la sécurité et les compétences pratiques doivent être irréprochables dans le processus de développement logiciel, et il incombe aux responsables de la sécurité d'influencer le changement au niveau de l'entreprise.
Bâtissez une culture de la sécurité florissante au sein de votre organisation en vous appuyant sur des informations approfondies. Programme de formation Par Secure Code Warrior.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
