TL;DR : tout ce qu’il faut savoir sur la porte dérobée XZ Utils
– Andres Freund de Microsoft découvre une anomalie dans SSH sur Debian.
– Une porte dérobée est trouvée dans XZ Utils, affectant les versions 5.6.0 et 5.6.1.
– La faille permet l’exécution de code malveillant avec des privilèges root.
– JiaT75, ou Jia Tan, est au cœur de la création de la porte dérobée.
– Des appels sont lancés pour intégrer les mises à jour infectées dans les distributions Linux majeures.
Qu’est-ce que XZ Utils ?
XZ Utils est un outil de compression de données sans perte largement répandu dans les systèmes d’exploitation de type Unix, y compris Linux.
Il est particulièrement apprécié pour sa prise en charge du format .lzma, ce qui renforce son importance dans l’écosystème des logiciels libres.
Que s’est-il passé avec XZ Utils ?
Andres Freund, développeur chez Microsoft, a mis en lumière un problème de performance avec SSH sur Debian.
Il a découvert qu’une porte dérobée avait été intentionnellement insérée dans XZ Utils, affectant les versions 5.6.0 et 5.6.1.
Freund a rapidement partagé sa découverte sur la liste de sécurité Open Source, alertant la communauté le vendredi.
Pour plus de détails sur cette actualité, consultez l’article de Wired ici.
En quoi consiste la porte dérobée ajoutée à XZ Utils ?
Le code malveillant ajouté aux versions concernées modifie les opérations de compression/décompression .lzma.
Il permet l’exécution de code malveillant avec des privilèges root lors de l’utilisation de SSH.
Une clé de cryptage prédéterminée permet à l’attaquant de se connecter via SSH avec un contrôle administrateur.
Comment la porte dérobée a-t-elle été créée ?
La création de la porte dérobée a nécessité des années de préparation.
En 2021, un utilisateur nommé JiaT75 a contribué avec un premier commit suspect sur le projet libarchive.
JiaT75, également connu sous le nom de Jia Tan, a intensifié son implication dans XZ Utils en 2023.
Tan a émis des commits pour les versions 5.6.0 et 5.6.1 qui implémentaient la porte dérobée.
Des appels ont été lancés pour intégrer ces mises à jour dans des distributions Linux telles qu’Ubuntu, Red Hat et Debian.
Quelles sont les fonctionnalités précises de cette porte dérobée ?
La porte dérobée permet de prendre le contrôle de sshd, le fichier exécutable pour les connexions SSH, et d’exécuter des commandes malveillantes.
Elle utilise un chargeur en cinq étapes avec des techniques pour se cacher et livrer de nouvelles charges utiles.
Que savons-nous de plus sur Jia Tan ?
Jia Tan est un pseudonyme derrière lequel de nombreux commits ont été réalisés sur des projets open source.
Il reste incertain qu’une personne réelle se cache derrière ce nom, ou s’il s’agit d’une identité fabriquée.
La découverte de cette porte dérobée soulève des questions cruciales sur la sécurité des logiciels open source et la vigilance nécessaire pour protéger nos systèmes.
Les répercussions de cette affaire pourraient être significatives, tant pour les utilisateurs individuels que pour les entreprises qui dépendent de ces technologies.
Il est essentiel de suivre les recommandations de sécurité et de mettre à jour les systèmes affectés dès que possible.
