Le hacker éthique Alex Birsan est parvenu à injecter un malware dans plusieurs dépôts de langage de programmation, via une faille dans un gestionnaire de paquets. Il est parvenu à briser les protections des systèmes internes de 35 entreprises. Parmi elles : Microsoft, Apple, PayPal, Netflix et Tesla… Plus surprenant encore, ce chercheur en cyber-sécurité a été récompensé pour sa découverte.
Voilà un hack qui fait froid dans le dos. Un chercheur en sécurité, Alex Birsan, a réussi à incorporer un malware dans des dépôts de code open source liés à des langages de programmation tels que PyPI (Python Package Index), npm (Node.js) et RubyGems.
Seul problème : une fois téléchargés par des grandes entreprises comme Microsoft, Apple, PayPal ou encore Tesla, Yelp et Netflix, les serveurs de ces grandes entreprises étaient piratés.
Comment y est-il parvenu ? Pour créer leurs logiciels, ces entreprises utilisent un code open source stable pour gagner du temps. Ces codes sont en général publics et disponibles sur des plateformes comme GitHub, un service web d’hébergement et de gestion de développement de logiciels.
Les bibliothèques et les applications libres sont en effet utilisées dans d’autres systèmes d’exploitation et sur des serveurs. De nombreuses entreprises les utilisent également en interne pour leurs propres programmes d’application. Mais dans certaines circonstances, cela peut s’avérer dangereux , comme le démontre Alex Birsan.
Un défaut de conception
Le chercheur en sécurité Alex Birsan a effectivement découvert il y a quelques temps que les systèmes de distribution publics et locaux présentent un défaut de conception qui peut être utilisé pour introduire clandestinement des logiciels malveillants. Les programmes modernes dépendent généralement de nombreuses bibliothèques et outils.
‘Ce type de vulnérabilité, que j’ai commencé à appeler confusion de dépendance, a été détecté dans plus de 35 organisations à ce jour, dans les trois langages de programmation testés. La grande majorité des entreprises touchées appartiennent à la catégorie des 1000 employés et plus, ce qui reflète très probablement une prévalence plus élevée de l’utilisation des bibliothèques internes au sein des grandes entreprises’, explique-t-il.
130.000 dollars
Alex Birsan a averti les sociétés de cette ‘faille’. Après avoir contourné le problème, elles ont décidé de lui accorder une prime. Le chercheur en cyber-sécurité s’est vu récompensé par un Bug Bunty (prime aux bugs), qui lui a permis de toucher 130.000 dollars au total.
Le hacker éthique n’en est pas à son coup d’essai : début 2020, il avait déjà prévenu PayPal d’une faille sévère liée aux mots de passe de ses utilisateurs.