Un développeur de chez Microsoft se demandait ce qui pouvait bien causer cette demi-seconde de chargement supplémentaire dans son logiciel. Réponse : une backdoor qui aurait pu donner accès à la quasi-totalité de l'Internet connu si elle n'avait pas été découverte à temps.
C'est donc uniquement par chance qu'Andres Freund a découvert la faille de sécurité intégrée à un outil d'administration open source immensément populaire. Les acteurs derrière cette tentative extrêmement ambitieuse ne sont pas connus, mais il a vraisemblablement fallu des ressources et du temps dont un hacker seul ne dispose probablement pas.
Une backdoor pour accéder à la quasi-totalité des sites internet
Le vendredi 29 mars, Andres Freund, développeur chez Microsoft, poste sur son forum et sur Mastodon avoir découvert une importante faille de sécurité dans les dernières versions de XZ, une librairie de compression de données. En effet, après avoir mis cette dernière à jour, il a découvert que la connexion sécurisée prenait une demi-seconde de plus qu'auparavant. C'est en enquêtant sur l'origine de cette différence qu'il a trouvé la backdoor.
L'alerte aura heureusement été donnée à temps, car seules les deux dernières versions de XZ contiennent cette backdoor, et la majorité des systèmes ne les ont pas encore installées. Heureusement, car la plupart des serveurs hébergeant des sites internet dans le monde fonctionnent sous Linux. Et XZ y est installé par défaut, en venant avec OpenSSH, un outil d'administration largement utilisé par les développeurs.
Sans la découverte de Freund, et si ces mises à jour avaient été déployées massivement, les acteurs à l'origine de cette gigantesque faille auraient donc eu accès à une large part de l'Internet connu et été libres d'en abuser comme bon leur aurait semblé. Reste à savoir de qui il s'agit.
Mais qui est Jia Tan ?
La backdoor a donc été glissée dans la librairie XZ. Cette dernière, qui est déployée pour le développement d'innombrables sites et logiciels, n'est pourtant qu'un projet open source développé au début des années 2000 par un seul homme, Lasse Collin. Ce dernier l'a maintenue et mise à jour pendant des années avant d'expliquer, en juin 2022, qu'il n'avait plus l'énergie ni la volonté de s'en occuper, et s'apprêtait à passer la main. Aussi incroyable que cela puisse paraître, cette librairie primordiale pour la sécurité de larges pans d'Internet reposait donc sur les épaules d'un seul bénévole.
C'est alors qu'est apparu un certain Jia Tan, qui n'a pas d'existence préalable connue, dans le projet. Il a commencé à faire ses propres modifications au projet XZ, y prenant de plus en plus d'importance, jusqu'à en prendre le contrôle en janvier 2023. Il a attendu un an de plus, jusqu'en février 2024, pour y ajouter une backdoor, qui aurait bien pu ne jamais être découverte sans la minutie d'Andres Freund.
Mais qui est donc ce Jia Cheong Tan ? Sans surprise, nombreux ont été ceux qui ont enquêté sur cette personne depuis la découverte. Les trois parties de son nom affiché sont certes chinoises, mais toutes sont originaires de régions et de langages différents du pays. Il semble donc probable que quelqu'un ait simplement mixé des noms chinois pour donner le change. La piste du hacker isolé paraît également peu crédible au vu du temps et des ressources investies, ou même des capacités d'exploitation d'une faille aussi massive. Un service de renseignements, un puissant groupe de hackers, voire carrément un État sont donc des suspects plus probables…
Source : OpenWall, Rémy piaille sur Mastodon
Comme le dit CluClu, il y a certainement un gros poisson derrière tout ça !
