Ce chercheur en sécurité a profité d'une faille dans les packages de codes open source publics pour briser la protection des systèmes internes d'Apple, Microsoft, Uber ou encore Spotify et Tesla. Il a été récompensé pour sa découverte.
au sommaire
On appelle cela, un bugbug Bounty, en français « la prime aux bugs », et c'est devenu un sport international pour les hackers vertueux. Cela peut rapporter gros, comme en témoigne cette prime de 130.000 dollars qu'a cumulée Alex Birsan, un chercheur en cybersécurité, pour avoir exploité une vulnérabilité dans les systèmes internes de 35 grandes entreprises du secteur de la high-tech. Parmi elles, on trouve des ténors comme Microsoft, AppleApple, PayPal, Shopify, NetflixNetflix, Yelp, Tesla, ou encore Uber. Pas besoin d'intervention de la part de la victime, comme c'est habituellement le cas lors des attaques, le white hat a exploité une faille commune dans les gestionnaires de paquets de plusieurs langages de programmation, comme npm pour NodeJS, PyPi pour Python et RubyGems pour Ruby. Elle pourrait aussi bien fonctionner avec d'autres langages.
“L’astuce employée est assez simple mais personne ne l’avait découverte”
L'astuce employée est assez simple mais personne ne l'avait découverte. Pour créer leurs logiciels, les géants de la high-tech font appel à du code open source qui est stable, déjà éprouvé, et qui leur fait gagner du temps. C'est un grand classique et ce type de code est public, disponible sur des plateformes comme GitHub, par exemple. En plus de ces packages de codes publics, les développeurs des sociétés réalisent leurs propres packages privés qui circulent parfois en dehors empaquetés dans d'autres morceaux de codes. Avec cette information, il savait quels codes privés faisaient appel à certains packages publics précis.
La prime maximale accordée par Microsoft
Et c'est justement sur des plateformes, elles aussi, publiques qu'il a déniché ces packages privés. Par la suite, il a injecté son propre code dans l'un des packages publics en reprenant le même nom. Les systèmes des entreprises faisaient appel à ce type de packages dotés de son code et l'exécutaient tout bonnement. Le principe est aussi simple que cela et c'est justement ce qui a inquiété les entreprises concernées.
Ce type d’attaque porteporte le nom de « suppy chain », mais elle demande généralement de compromettre le poste d'un utilisateur pour dérober ses identifiants ou lui faire installer du code malveillant à son insu. Dans ce cas, Alex Birsan a juste profité de cette énorme faille qu'il a baptisée « confusion de dépendances ». À l'issue de sa découverte, le chercheur a alerté l'ensemble des firmes. La plupart lui ont accordé leur prime maximale en cas de découverte de bugs ou de vulnérabilités. Les sociétés ont trouvé une solution pour contourner cette vulnérabilité qui est malheureusement structurelle.