Ça fait deux jours que je suis fasciné par ce qui se passe dans le monde de la sécurité informatique, autour de la backdoor XZ. Je vais essayer de vous l'expliquer, ça va être technique, mais c'est important.
Pour Internet, c'est l'équivalent d'un gros astéroïde qui serait passé à 5000km de la Terre. Pas d'impact, pas de dégâts directs, mais on aurait pu tous y passer et personne ne l'a vu venir.
Je vais chercher à vulgariser un maximum, tout en donnant des liens vers les sources directes, qui sont souvent très techniques et en anglais. Ça va être un peu long, mais c'est passionnant.
C'est le système de sécurisation des connexions Internet qui a été menacé à l'échelle globale. Plus précisément, un outil d'administration très populaire, OpenSSH. Une "backdoor", un accès caché, a (presque) été ajouté à cet outil qui gère les connexions sécurisées sur la plupart des serveurs hébergeant des sites web ou des applications.
En gros, si le plan avait fonctionné, le groupe qui a les clés de la backdoor aurait pu ajouter des virus sur quasiment tous les sites webs existants. Pour récupérer toutes les données, installer des virus sur tous les téléphones des utilisateurs. La porte ouverte à tous les problèmes imaginables.
On ne sait pas qui a fait le coup. La stratégie a été progressivement mise en place sur deux ans, il faut être très organisé et très solide pour voir aussi grand et aussi loin. Beaucoup pensent que seul un Etat a pu mettre en pratique un projet d'une telle ampleur.
Les analyses sont en cours, on en saura plus dans les prochains jours. Des débats on déjà commencé sur les responsabilités, et notament sur le rôle critique de la communauté open-source (et son sous-financement).
Les révélations ont commencé vendredi matin, le 29 mars 2024, avec un post sur un forum suivi d'un pouet sur Mastodon.
Andres Freund, développeur chez Microsoft, est en train de faire des tests pour améliorer le logiciel sur lequel il travaille (postgres). Il découvre que depuis qu'il a fait des mises à jour, la connexion sécurisée (ssh) prend 500 milllisecondes de plus qu'avant.
Il tire le fil et découvre que les dernières versions de XZ, une petite librairie (morceau de logiciel) de compression de données, contiennent une backdoor, un accès caché.
Mais l'alerte a été donnée à temps. Seuls les deux dernières versions de XZ (5.6.0 et 5.6.1) contiennent la backdoor, et ces versions n'ont pas encore été installées dans la plupart des systèmes.
La plupart des serveurs (ordinateurs) qui hébergent Internet fonctionnent avec des systèmes d'exploitation Linux. Et XZ est installé par défaut sur la plupart des systèmes Linux.
Heureusement, il y a toujours un délai entre la sortie d'une nouvelle version d'une librairie et sa mise à jour sur les ordinateurs qui l'utilisent.
XZ contient une faille qui cible les connections SSH
les systèmes Linux contiennent XZ
les développeurs web utilisent Linux pour héberger leurs sites et applications
OpenSSH est fourni avec Linux pour faciliter l'administration des sites.
En ajoutant une backdoor à XZ, on n'a qu'à attendre que la dernière version d'XZ soit ajoutée à Linux pour pouvoir entrer partout.
La backdoor a été détectée avant d'être massivement déployée. Les dégats directs sont donc très limités. Une fois la situation sécurisée, tout le monde a cherché à comprendre à ce qui s'est passé.
XZ est un petit projet crée au début des années 2000 par un certain Lasse Collin. Il décrit XZ comme "un projet bénévole, de loisir" ("an unpaid hobby project"), dans cet email de juin 2022 : https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html
Ce message est important : il y explique qu'il n'a plus l'énergie pour s'occuper de XZ, notamment à cause de "problèmes durables de santé mentale" ("longterm mental health issues"). Il annonce qu'il cherche quelqu'un pour reprendre la maintenance d'XZ.
Nous avons donc une librairie importante, critique pour la sécurité d'Internet, qui tient sur les épaules d'un seul bénévole. On est en 2022 et cette personne est en train de craquer.
Jia Tan n'a aucune existence préalable connue, mais il devient de plus en plus important pour le projet XZ, jusqu'à devenir le mainteneur principal.
Le 7 janvier 2023, Jia Tan merge lui même son code dans XZ. Jusque là, c'est Lasse Collin qui vérifiait puis intégrait les modifications. À partir de ce moment, Jia Tan peut donc faire ce qu'il veut sans vérification.
Tout est en place quand, en février 2024, Jia Tan ajoute le code de la backdoor dans XZ. Il envoie ensuite des messages aux mainteneurs des différentes distributions Linux pour leur demander de mettre à jour avec la nouvelle version.
Tout se passe comme prévu, jusqu'à ce qu'Andres Freund découvre tout par hasard.
Voilà ce qui vient d'arriver. Un plan mené sur 2 ans et demi, qui cible une des infrastructures de sécurité les plus importantes d'Internet. Un plan qui a failli réussir.
Il reste beaucoup de questions. Par exemple, "Comment ?". XZ est une librairie open source. Son code était librement accessible sur Github, avant que la plateforme ne le désactive vendredi dans la journée (https://github.com/tukaani-project/xz).
Comment peut-on ajouter une vulnérabilité aussi importante dans un projet informatique dont le code est public ?
Réponse : le code de XZ ne contient pas la backdoor. Jia Tan l'a ajouté dans le processus de packaging des nouvelles versions, via des fichiers de test. Le code de XZ est propre, mais la version qui sera intégrée dans les distributions Linux contient la backdoor. C'est très malin, plutôt impressionnant.
Ce qui nous amène à LA question : qui est "Jia Tan" ? Des personnes curieuses ont fouillé les archives du projet XZ (avec git log), et trouvé une signature différente :
Jia Cheong Tan <jiat0218@gmail.com>
Hors Cheong est un nom cantonais, Jia plutot mandarin et Tan ni l'un ni l'autre, plutôt hokkien. Le plus probable : quelqu'un a mélangé plusieurs mots qui sonnent chinois pour créer un nom de toutes pièces.
Le plan est vraiment de très long terme, et très bien exécuté. C'est impressionnant techniquement, mais aussi en terme d'ingénierie sociale.
En gros, on ne pourrait plus faire confiance aux sites en https, et pendant quelques temps, on ne pourrait plus faire confiance à aucun site sur internet.
N'importe lequel pourrait se présenter comme un site de confiance et être corrompu.
On pourrait attraper des virus sur des sites très connus. Auncune donnée ne serait vraiment en sécurité.
Donc, on peut imaginer la paralysie d'un certain nombre de services importants ou fondamentaux pour notre vie en société, vu à quel point on s'est embarqué dans la numérisation systématique d'à peu près tout...
Et seulement des virus, ou aussi d'autres "bêbêtes" ?
@Daniii en gros, on parle d'une dé-numérisation brutale. D'une perte de confiance massive dans Internet en tant qu'outil. Et pas seulement sur les outils récents.
Toutes les archives emails deviendrait vulnérables, c'est d'une brutalité incroyable. C'est toutes les portes d'entrées ne fermaient plus, d'un coup. Et toutes les boîtes aux lettres seraient déverouillées.
Tout serait d'un coup plus facile pour quelqu'un qui voudrait cambrioler un appartement.
@Daniii c'est la meilleure question. Là on sait tout ça parce que le code est public.
Celui qui a trouvé la faille a pu le faire parce que le code était open source. Dans un code fermé, on ne le saurait pas.
Donc soit l'entreprise qui en est responsable corrige sans rien dire à personne, soit le problème reste en place.
En général du code open source est considéré plus sécurisé, puisque les utilisateurs pevent en vérifier la qualité. C'est ce qui rend cette histoire encore plus folle.
@rusty@Daniii mon opinion, qui n’est que la mienne, c’est que tout changelog passé (et à venir) d’un logiciel closed source qui dirait « minor bug corrections, performance improvement » doit être considéré comme suspect !
@rusty Une analyse des dates et heures des commits suggère que Jia Tan se situerait possiblement en Europe de l'Est, mais essaierait de se faire passer pour un chinois. En effet, le fuseau horaire de son ordinateur est mis en UTC+8, celui de la Chine. Mais les heures des commits correspondent plutôt aux horaires de travail de l'Europe de l'Est (UTC+2 ou 3). De plus, Jia Tan a travaillé pendant les vacances chinoises (ex : nouvel an lunaire), mais jamais pendant les vacances européennes (ex : Noël).
Un hacker isolé dans un grenier n'aurait tous simplement pas les ressources pour un projet aussi long. On pense donc plus à des services de renseignement, ou alors un très grand groupe de hackers.
Nous allons entendre parler de cette histoire pendant des années, de nouvelles informations devraient sortir prochainement.
Note : Lasse Collin semble aller bien, le 30 mars 2024 il est apparement venu rassurer ses contacts sur IRC avant de se déconnecter pour le weekend de Paques. https://news.ycombinator.com/item?id=39872887
@rusty Information supplémentaire : systemd, qui est le chemin qu’avait trouvé l'attaquant pour atteindre openssh, était en train d'intégrer un changement qui aurait rendu la backdoor inopérante (chargement dynamique de liblzma au besoin avec dlopen() plutôt qu'avec un lien direct), donc on peut légitimement penser que ses demandes d'intégration (appuyées par des comptes qui sont lui ou des comparses) en février sont à priori une tentative un peu paniquée de faire en sorte que les distributions intègrent la backdoor rapidement, en prétextant des corrections et améliorations
MAJ 2 : Une précision utile de @petaramesh , concernant l'objectif de l'attaquant.
On ne connaît pas la cible finale. Mais en voyant l'ampleur du plan, on peut se dire que la cible est tout aussi grande. Espionnage, sabotage de site industriel ou d'infrastructures publiques, ce genre de choses.
Il y a aussi le moyen technique : OpenSSH sécurise beaucoup de choses sur Internet, et si la faille avait été déployée largement, puis découverte, une période de chaos aurait suivie, le temps de re-sécuriser tout ça. Le plan était peut être de profiter de ce chaos.
Pour faire quoi ? Ça restera de la spéculation pour l'instant.
@rusty
C'est processus de hack épique et une attaque sur un système de première importance. Cependant même dans le cas où cela aurait réussi. J'ai du mal à évaluer l'impact exact sur un système sécurisé correctement (multi-couche). Par exemple sur un serveur dont l'accès ssh est limité à quelques IP par le pare-feu (interception/modifications des sessions reste possible mais il faut être sur le chemin?). Ou le cas openssh accessible seulement par vpn (dans ce dernier cas osef il me semble).
@metaphys On ne connait pas l'objectif de l'attaquant. Un plan aussi complexe a certainement un but précis.
Ce qui fait peur là, c'est que c'est un élément de base important de la sécurisation qui est touché, mais on est d'accord, on pourrait trouver des parades rapidement.
Mais dans le chaos temporaire, l'objectif initial de l'attaquant serait surement atteint.
@rusty
Oui tu a raison en fait on sait que ça vient de là car la faille à été découverte avant. S'il avait fallu remonter à xz à partir d'une épidémie d'intrusion, l'horreur.
Merci pour ce super fil explicatif en tout cas
Add comment