Sécurité : Netflix, Uber, Tesla, Apple, piratées et vulnérables ? Notre éclairage pour comprendre la situation

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 19 février 2021 à 15h55

Le chercheur en sécurité Alex Birsan a pu « pirater » les chaînes d’approvisionnement de 35 grandes sociétés mondiales, soulevant de nombreuses questions sur les conséquences potentiellement ravageuses de cette action. En revenant sur l'affaire avec trois experts en cybersécurité, Jérôme Thémée, David Bizeul et Fred Raynal, nous allons voir que la situation, bien que problématique, ne doit pas être source de panique pour le grand public.

Dans un article publié sur Medium, le chercheur en sécurité Alex Birsan a dévoilé, il y a quelques jours, comment il est parvenu à pirater Apple, Microsoft, PayPal, Tesla, Uber, Shopify, Yelp, Netflix, et des dizaines d'autres grandes entreprises mondiales, 35 au total, le tout par le biais de la chaîne d'approvisionnement utilisée pour concevoir et mettre à jour leurs différentes applications.

Fort heureusement, il ne s’agit pas d’un piratage « malveillant », bien au contraire. Le spécialiste a agi avec l’assentiment des entreprises concernées, en sa qualité de hacker éthique, dans le cadre d'un bug bounty qui lui a tout de même rapporté la coquette somme de 130 000 dollars. En gros, il a été payé pour dénicher des vulnérabilités au sein de ces multiples applications. Et ses trouvailles sont plus qu’intéressantes…

Une succincte présentation de la faille dénichée

Techniquement, Alex Birsan a exploité une vulnérabilité décelée dans les gestionnaires de programmation que sont Python (PyPi), Node.js (mpm) et Ruby (RubyGems). Les grandes entreprises du numérique concernées construisent ou reconstruisent leurs applications (quotidiennement pour certaines) en utilisant du code, des composants qui peuvent être privés mais aussi publics, ce qui constitue une opportunité pour un hacker d’injecter du code malveillant, code qui pourra être récupéré par l’éditeur dès lors qu’il interroge l’une des sources qui l’héberge. C'est ce qui permettra ensuite de mettre à jour l'application en déposant une porte dérobée. Comme souvent, les entreprises partent du principe que l’outil de base est de confiance. Et lui accorde une confiance aveugle. « Aucun des services d'hébergement de packages ne peut garantir que tout le code téléchargé par ses utilisateurs est exempt de logiciels malveillants », explique aujourd’hui Alex Birsan.

La question se pose notamment lors de l'utilisation de certains packages publics (comme ce qu'a pu faire PayPal) que tout le monde peut utiliser et librement télécharger, mélangés à des packages privés. Ici, Birsan a pu en profiter pour mener sa compromission de dépendance, ou « attaque par substitution ».

Pour apporter une expertise et une franche touche de pédagogie à cette vulnérabilité et vous aider à comprendre le pourquoi du comment, nous avons recueilli les réactions de Fred Raynal, patron et fondateur de Quarkslab, une entreprise française spécialisée dans le développement de logiciels en sécurité de l’information. Nous sommes également allés à la rencontre de Jérôme Thémée, fondateur de l'organisme de formation ESD Cybersecurity Academy ; et de David Bizeul, spécialiste et CTO de Sekoia, qui œuvre dans l’anticipation des cyber-menaces.

Voir aussi : Hackers éthiques de Yogosha

Focus sur les dénicheurs de failles informatiques : chez Yogosha, on ne rechigne pas à enfiler l’armure de chevalier blanc du hacking, d’ange-gardien des entreprises.

Une vulnérabilité qui n'est pas nouvelle

La première chose à savoir, ou à déconstruire si vous pensiez que ce type d’attaque est nouveau, c’est que justement, il ne l’est absolument pas. « Les attaques par supply chain existent depuis 20 ans. Historiquement, nous appelons aussi cela les "attaques sur les dépendances" », nous dit Fred Raynal. « J'ai le souvenir d'un fait similaire mais de plus haut niveau en 2015, lorsque Kaspersky Lab avait révélé une grosse campagne APT menée par l'Equation Group, qui était parvenu, en sortie d'usine, à modifier des disques durs. Les niveaux d'attaques par supply chain sont de très haut niveau aujourd'hui, ça relèverait presque du film d'espionnage », se remémore Jérôme Thémée.

David Bizeul, qui soutient aussi le caractère pas vraiment inédit de la démarche, note que « la technique n'est pas nouvelle, n'est pas forcément facile à exploiter non plus, mais elle est intéressante car elle permet potentiellement de forcer la porte de multiples entreprises et d'avoir des accès à forts privilèges ».

Ce qui est assez rocambolesque, ici, c’est que le chercheur Alex Birsan a œuvré à grande échelle. « On connaît certaines personnes qui ont déjà fait cela en laboratoire. La pratique, pas nouvelle donc, s'est amplifiée avec le Cloud, les micro-services etc., car les applications sont reconstruites en permanence, en allant chercher un peu partout les fameuses dépendances (la supply chain), sans forcément vérifier que c'est la bonne dépendance qui est recherchée et qu'elle est bien légitime. Le moyen que Birsan a trouvé, c'est de fournir les packages plus à jour. Un système, qui est chargé d'une application, voit donc qu'il y a une mise à jour plus récente, il la récupère et reconstruit l'application avec la dernière version. Sauf que dans les faits, ici, ce n'était pas la version légitime. C'est l'une des erreurs rencontrées dans la manière dont les applications sont construites », explique Fred Raynal.

David Bizeul complète en décrivant une « technique qui met l'accent sur une tendance qui s'installe de plus en plus, et qui est relative aux compromissions indirectes. On peut parler de supply chain lorsque la vulnérabilité vient d'un partenaire, mais ici, la faille vient d'un composant tiers rapporté dans la chaîne de traitement. » Le terme « vulnérabilité » ne semble jamais avoir aussi bien porté son nom.

Les raisons et les sources de cette faille

Aujourd'hui, nous sommes plongés dans un environnement où de grandes entreprises du secteur numérique, comme Google, Netflix, Uber, Tesla ou PayPal ont besoin de développer des applications sans perte de temps, rapidement, et il en va de même pour les mises à jour. « Elles sont dans un monde moderne où, pour leurs applications, elles vont chercher du code un peu partout », analyse le fondateur de l'organisme de formation ESD Cybersecurity Academy.

Du code nécessaire à la mise à jour et à la création des applications

Pour trouver le code nécessaire à la mise à jour des applications, les entreprises se rendent sur des bibliothèques très connues, comme analytics.js, jQuery et bien d'autres. Il faut avoir à l'esprit que le recours à ces bibliothèques est primordial pour monter une application. Or, ici, elles peuvent être la solution… Et la source du problème ! Rappelez-vous : tout à l'heure, nous faisions la distinction entre le code privé et le code public.

« Ce modèle DevOps, qui va très vite, pousse à faire confiance à une base connue, publique, qui peut être analysée. Mais on en oublie que ce sont des parties prenantes qui pénètrent notre système d'information », alerte Jérôme Thémée, « et peu de personnes font de la revue de code des dépositaires publics ».

Répondre à la nécessité d'une (re)construction quotidienne des applications

Pour Fred Raynal, il existe trois facteurs au problème :

un système de build (construction), qui est ce qui va fabriquer l'application,
L'application, qui est ce qui est fabriqué par le système de build,
Les dépendances, qui sont ces bibliothèques externes qui vont éviter, par exemple, de recoder un bouton « OK » dès qu'on en aura besoin, c'est-à-dire très souvent, en théorie. En d'autres termes, on se sert alors d'un bouton prêt à l'emploi.

« Le système de build reçoit des instructions qui lui indiquent que le code source de l'application est à tel endroit, qu'il faut l'utiliser et, pour construire l'application, qu'il faut chercher la bibliothèque "Toto" (c'est un exemple), en prenant toujours la dernière version de la bibliothèque Toto ».

« Dans le système de build, il y a une liste d'endroits où l'on peut chercher la bibliothèque mais aussi toutes les autres dépendances, y compris le code source. Le système de build va se mettre à faire le tour de tous les liens de stockage des dépendances, et ne va pas faire la distinction entre Toto sur Toto.fr ou, par exemple, Toto sur GitHub. Il ira au plus simple et prendra la version la plus récente ».

Vous l'aurez aussi compris, certaines des applications visées par la faille sont reconstruites et/ou mises à jour quasi-quotidiennement (ou des centaines, voire des milliers de fois par jour pour un service comme Amazon). « Ce qui pousse à prendre certains raccourcis qui ne sont pas toujours optimaux ».

On définit et on schématise la « compromission des dépendances », avec Jérôme Thémée 🧐

Aujourd'hui, on fait rentrer, à la maison, de nouveaux services, de nouvelles personnes et fonctions. Lorsque je fais entrer un Google Home ou un autre objet connecté chez moi, j'ouvre une porte supplémentaire. Ici, dans les nouveaux systèmes d'information, nous faisons des applications plutôt 2.0, avec, quelque part, du SaaS (software as a service), dans le Cloud. Et il est vrai que pour programmer ces applications, il est plus simple de prendre des briques déjà fabriquées ailleurs que de construire sa maison et ses propres briques. On préfère louer, consommer et jeter. Voilà ce que sont les dépôts : chercher du code tout fait, à gauche, à droite, etc. Mais ce code, doit-on lui faire confiance à 100 % ? Car s'il est compromis, il compromet mon application.

Quelles conséquences pour les utilisateurs de ces outils et applications ?

C'est sur cette partie-là que nous pourrions vous alarmer et céder à la panique. Mais nous avons souhaité faire preuve de raison et ne pas nous arrêter à la simple évocation de la vulnérabilité, ni aux noms ronflants évoqués (Uber, Tesla, Netflix, Apple, tout ça tout ça…). La sagesse avant tout !

Oui, la faille permet à un attaquant d'injecter une backdoor dans les systèmes utilisés.

Oui, cette backdoor peut permettre de créer une dépendance avec, par exemple, le numéro de carte bancaire d'une personne, et faire croire à une enseigne que le paiement a fonctionné alors qu'il n'a pas réellement été effectué. Mais ce n'est pas aussi simple !

« Cet exemple est erroné, car il y a d'autres mécanismes de protection s'agissant de l'achat par carte bancaire », rappelle Fred Raynal. « Il illustre le potentiel de la vulnérabilité. Mais un pirate aura cependant plus d'intérêt à récupérer toutes les transactions et numéros de carte bleu qu'à faire cela ».

« L'attaque, si elle est bien menée, permet d'imaginer, séquentiellement, la récupération des permissions de l'application compromise, l'accès à la machine ayant installé le programme et enfin la compromission du système d'information », analyse de son côté David Bizeul. Mais le directeur technique de Sekoia tempère, lui aussi et à sa façon, la vulnérabilité : « Les impacts peuvent être importants, pour autant faut-il céder à la panique ? Non bien sûr. Il convient de suivre les bonnes pratiques de sécurité en termes de développement pour faire appel, d'une part, aux bibliothèques strictement nécessaires et connues, et d'autre part pour limiter les privilèges des applications ».

Essayer de relativiser

On peut très bien imaginer un pirate réussir à avoir accès à l'outil qui gère l'ouverture des portes des véhicules Tesla, « mais pour moi, c'est s'amuser à se faire peur », juge Fred Raynal. « À partir du moment où nous avons un tel accès, on peut imaginer un peu tout et n'importe quel débouché. Il faut aussi relativiser par rapport aux cibles et à la volonté d'un attaquant ».

Et le fondateur de Quarkslab de revenir sur l'exemple, forcément parlant, de la carte bancaire : « Ce n'est pas parce que vous aurez réussi à insérer votre numéro de carte bleue que vous réussirez à maquiller des paiements, car derrière, il y a tout un tas d'autres acteurs qui interviennent pour valider ou non un paiement (comme le fameux code de confirmation émis par votre banque sur votre mobile, ndlr.). Il faut réussir à dédramatiser ».

Une faille possiblement déjà exploitée par des individus malveillants

Cette vulnérabilité, vous l'aurez compris, ne date pas d'hier. Mais a-t-elle déjà été exploitée par des pirates informatiques pour autant ? Pas sûr. Pour Fred Raynal, « avant la révélation, peut-être que des gens avaient connaissance de ces vulnérabilités et les ont exploitées ».

La brèche n'est en tout cas pas vraiment comparable à celle exploitée par SolarWinds, liée à de l'injection en mémoire, « ce qui permettait d'entrer directement dans les systèmes d'exploitation », rappelle Jérôme Thémée. « Ici, si c'est dans l'application Web, on va pouvoir faire de l'exfiltration de données, ou peut-être injecter un JavaScript malveillant. On peut dire que ce sera une couche un peu plus haute ».

Une vulnérabilité (plus ou moins facile) à colmater

Une telle faille interroge forcément sur les moyens mis en œuvre par les différents acteurs potentiellement ciblés, pour faire en sorte de se mettre à l'abri. « A posteriori, ce qui va se passer, et ce n'est pas spécifique à cette vulnérabilité, c'est qu'il va y avoir un temps, plus ou moins long, pendant lequel il va falloir corriger la vulnérabilité. Ce qui n'est pas clair pour moi, ici, c'est que je pense que le correctif est propre à chacun et à la manière dont chacun a géré son système de build. Quand Microsoft ou Apple sortent un correctif, les systèmes sont mis à jour. Là, je crains qu'une partie du correctif dépende aussi fortement de la manière dont les ingénieurs des différentes boites ont configuré leur système de build », soulève Fred Raynal.

« Le fait de se livrer à du patch management, à la base, c'est une mesure de sécurité. La mise à jour équivaut à un gain de confiance. Mais en fait, la question à se poser : c'est "est-ce que je peux faire confiance à mon prestataire ?" Toutes les grosses entreprises se posent déjà la question », nous indique Jérôme Thémée, pour qui, aujourd'hui, tout peut aller très vite.

Quel avenir pour la construction des applications de demain ?

Doit-on s'attendre à des changements dans la méthode de construction et reconstruction des applications, qui se passeraient des lignes de code publiques ? Sans doute pas tout de suite !

« Tout peut aller très vite », assure le passionné de hacking. « Les grosses sociétés vont mettre en place des logiciels capables d'analyser du code. Il y a, aux USA, des modèles de framework, comme le BSIMM (Building Security In Maturity Mode), qui regroupe plusieurs dizaines de grandes entreprises, et travaille à la sécurisation des applications. Sur les entrées de code à travers les dépôts, on se rend compte que les grandes sociétés matures en cybersécurité font quand même de l'analyse, mais pas toutes. Il y a une vraie marge de progression là-dessus. Pour moi, il faut mettre en place un modèle pour ce genre d'attaque. Alors oui, ça peut coûter cher, mais on va mettre en place un processus pour sécuriser les cycles de développement. La dernière société française qui faisait ça s'appelait Sqreen, une start-up qui vient d'être rachetée par Datadog, une puissante entreprise US spécialisée dans la surveillance des infrastructures Cloud ».

Quant à savoir s'il faut que les grandes entreprises numériques revoient leur méthode de construction et reconstruction d'applications, en ne privilégiant plus que du code privé au travers duquel un individu malveillant ne peut plus interférer, David Bizeul ne prône pas un bouleversement majeur. « Non, bien sûr, ces systèmes de gestionnaires de paquets sont très pratiques et ils continueront d'être utilisés. Ils assurent une vraie souplesse pour les besoins de développement. Le problème, c'est qu'ils sont tellement pratiques qu'ils automatisent beaucoup d'actions ».

C'est l'exemple du petit bouton « OK » dont nous parlions précédemment. « En rendant cela transparent, l'utilisateur gagne du temps mais perd le contrôle. À l'échelle de l'entreprise, des stratégies de généralisation de namespace (usage d'un module dans une librairie choisie) devraient être suffisantes pour éviter les effets des attaques de compromission de dépendances ».

Pour Jérôme Thémée, il est plutôt nécessaire de procéder à de la pédagogie au sein des entreprises, mais aussi de les inciter à se donner les moyens de leurs ambitions sécuritaires. « Il est bon de sensibiliser sur ce qu'il convient de faire dans le cas d'une attaque sur supply chain, et d'analyser les parties prenantes. Une entreprise va par exemple se protéger des attaques extérieures, mais ne va pas analyser du code public qui, pour elle, est du code légitime. Et ça, c'est encore du budget et des charges. Même l'ANSSI propose de n'oublier aucune partie prenante : il faut aussi analyser les petites portes », préconise le spécialiste.

La sécurité de la gestion des dépendances est donc une question complexe (que nous avons tenté de vulgariser un maximum), mais l'heure est sans doute davantage à l'optimisation des langages de programmation existants, qu'à celle d'en inventer de nouveaux, qui ne seront que d'inédites opportunités pour des hackers à l'affût de la moindre nouveauté…

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

malak

Le développement « rapide » (pour ne pas dire low-cost) a ses inconvénients.
Ce qui est étonnant ici, c’est que de grands groupes y ont recours… aucune dépendance ne devrait être mise à jour sans vérifier son code.
J’irai même jusqu’à dire qu’il ne devrait y avoir aucune connexion extérieure et que les dépendances vérifiées, soient rapatriées complètement en interne (et modifiées si besoin).

Evidemment, on en revient toujours au même, il faut plus de moyens consacrés au dév…

OkBoomer

Développement rapide =/= de développement low cost
Tout le monde y a recours, les TPE, les PME, les gros groupes, les banques, même dans certains milieux sensibles comme le spatial et la défense.
Les codes sont vérifiés, parfois même les librairies et toutes les dépendances, mais pas systématiquement. Sur des « gros projet », c’est juste impossible.
Quand vous passer votre voiture au contrôle technique, vous ne vérifiez pas l’usure de toutes les vis de votre véhicule. Si c’est bien conçu et qu’une vis pète, une partie est compromise mais l’intégrité de l’ensemble n’est pas atteinte. C’est pareil dans l’IT moderne, on isole au maximum.
Juste impossible aujourd’hui. Il a même des flux qui gèrent de l’information classé comme confidentiel défense qui sont ouvert sur le net (avec chiffrage de bout en bout, pare feu, vlan, vpn, ipsec, ids/ips etc). Il faut arrêter de rêver, on ne peut pas créer un internet à l’échelle planétaire physiquement séparé pour chaque entreprise.
Vous pouvez rapatrier toutes les dépendances comme ça se fait régulièrement en zone classé SD ou CD, mais dans ce cas-là, vous devez vous taper le maintien de ces dépendances, au strict minimum tous les correctifs de sécu …
Alors dans le monde réel des entreprises privées, c’est très rarement le cas.
Seules quelques grosses boites privées en ont les moyens, ne le font pas systématiquement pour des raisons pratiques et économiques.

On n’a ni le temps, ni l’argent de réinventé la roue à chaque projet, c’est d’ailleurs le but même de ce système, et du devops de manière générale.

Le risque de piratage d’un des ces gestionnaires est suffisamment rare et peu impactant pour être négligeable face à l’immense gain de temps et d’argent qu’ils offrent.

C’est souvent beaucoup plus facile (et c’est le cas dans le monde réel), de contrôler les entrées/sorties plutôt que de contrôler tout ce qui passe à l’intérieur.

J’aimerai vivre dans votre monde utopique tout rose mais ce n’est malheureusement pas la réalité.

Felaz

L’ère du low/no code va t’elle encourager la cybermalveillance en utilisant justement des portes d’entrée dérobées « communes » ou au contraire va t-elle permettre une surveillance accrue de failles qui seront « en théorie » moins nombreuses ? Ca laisse songeur…

AxG

Très éclairant, merci !
D’accord pour ne pas réinventer la roue, mais avouons aussi que parfois des sites et applications impotent des bibliothèques pour une seule fonctionnalité… Il faudra peut-être y repenser alors…
Cette expérience a le mérite de rappeler (même si d’aucuns pensent que c’est une évidence) qu’on est sur un principe de confiance et donc pas de risque zéro. Il y a donc de facto une responsabilité à utiliser une bibliothèque et à la mettre ou non à jour.

EnLighter

Depuis les révélations de Snowden, la question que je me pose après avoir lu cet article (très clair et bien écrit au demeurant) est quel est le niveau actuel d’installation de backdoors dans les codes publics en provenance d’agences étatiques …

Nmut

Il serait intéressant d’avoir aussi un dossier sur le dll spoofing, c’est dans le principe un peu similaire, une attaque par une entrée non validée (et encore plus difficilement validable).
Ca me fait super flipper quand je vois les IT de mes clients nous refuser nos dll pour les remplacer par les leurs « plus sûres » mais après analyse avec des provenances pour le moins douteuses (non signées ou signatures non valides par exemple)…

Oldtimer

Donc si je comprends bien, moi le néophyte profane dans le développement et sécurité, pour boucher les failles il faut mettre a jour mais pour éviter d’être potentiellement infecté, il faut que j’évite de mettre à jour.

KlingonBrain

Pour ma part, je pense qu’il y a des solutions relativement simples à ces problèmes.
D’abord un constat, c’est que ce genre de problème est rarement susceptible de venir des auteurs des logiciels eux même. Car ceux ci jouent très gros sur leur réputation et ont investi des années de travail. Et le code qu’ils acceptent de la part de contributeurs est dans la plupart des cas très bien vérifié.
Le problème viens plutôt de dépôts de code tiers. Encore plus, quand n’importe qui peut téléverser du code et/ou modifier un peu le nom d’un projet pour tenter de se faire passer pour l’original, voir utiliser le nom d’un projet avant les vrais auteurs d’un soft.
Par contre ce que dit le gars n’est pas totalement vrai. Parce que oui, il existe des dépots qui sont garantis sûr. Par exemple, les grandes distributions Linux utilisent des signatures électroniques pour les paquets.
Tenter de corrompre ce genre de dépôt ne fonctionne pas car le gestionnaire de paquet détectera le problème immédiatement.
Reste les personnes qui les alimentent, qui sont des volontaires qui ont montré qu’ils sont digne de confiance. Mais on peut imaginer qu’infiltrer une organisation n’est pas totalement impossible pour qui voudrait s’en donner les moyens.
A mon sens, la solution est d’impliquer beaucoup plus les auteurs des logiciels dans la distribution des logiciels, d’éviter tout tiers et d’utiliser une signature électronique de bout en bout qui garantirait qu’un logiciel est à 100% issu de son auteur sans modification possible par un tiers en cours de route.

Bombing_Basta

Tu n’as pas bien compris non.
Il faut mettre à jour, mais il faut absolument que tu sois sûr de la « propreté » de la source…
La plupart des projets open-source te donnent un hash pour vérifier que ce que tu télécharges, est bien ce que tu devrais télécharger, car ils partent du principe que n’importe-quel serveur (repo) peut être compromis, et la base doit être la méfiance, pas la confiance.

Oldtimer

Oui mais alors comment être sûr que la source est sûre ?

C’était en ce sens que je disais faire et ne pas faire en même temps pour mon iPhone, mon Windows 10, pour les androids etc… où il n’y a pas d’open sources

En tout cas merci pour tes précisions