Apple, Tesla, Microsoft et plus de 30 autres grandes entreprises, piratées avec succès par un chercheur

Par Nathan Le Gohlisse, Spécialiste Hardware.

Publié le 11 février 2021 à 16h00

Apple, Tesla, Microsoft, PayPal, Netflix, Yelp ou encore Uber font partie de la grosse trentaine de sociétés ayant vu leurs systèmes internes être piratés par le biais d'une nouvelle approche, exploitant leur base open-source. Heureusement, le responsable de l'attaque était un chercheur en sécurité.

Pour de nombreuses entreprises, utiliser des répertoires open-source est une solution commode pour concevoir, perfectionner ou ajouter des fonctionnalités à leurs systèmes internes. Une méthode utilisée par de nombreux géants de la Tech, mais dont un chercheur vient de démontrer les limites en termes de sécurité.

Attaquer des systèmes en compromettant leur source

Comme l'explique Bleeping Computer, le principe de l'attaque dévoilée par Alex Birsan consiste à uploader des malwares directement dans des répertoires open-source comme PyPI, npm ou RubyGems, utilisés par des grandes compagnies. Aucune intervention de la victime ou de l'entreprise cible n'est alors nécessaire puisque les logiciels malveillants uploadés sont distribués automatiquement aux systèmes internes qui ont recours à ces répertoires, et ce, après une simple manipulation.

« Alex Birsan a eu l'idée en travaillant avec un autre chercheur, Justin Gardner. Gardner avait partagé avec Birsan un fichier manifeste (package‧json) provenant d'un package npm utilisé en interne par PayPal », lit-on. « Birsan a alors remarqué que certains des paquets du fichier manifeste n'étaient pas présents sur le dépôt public de npm mais étaient en fait des paquets npm créés par PayPal en privé, utilisés et stockés en interne par la société ».

Restait alors à découvrir lequel des deux types de paquets était prioritaire. Alex Birsan a rapidement compris que c'était celui du dépôt public. Pour infiltrer les systèmes de PayPal (et de bien d'autres…), il suffisait par conséquent de modifier le nom des paquets prioritaires pour qu'ils soient automatiquement téléchargés. Parfois, ajouter des numéros de versions ultérieures était néanmoins nécessaire pour forcer le téléchargement.

Une découverte à plus de 130 000 dollars

Comme l'indique 9to5Mac, Birsan a par la suite dû prouver que les paquets qu'il avait trafiqués (sans faire courir de risque aux systèmes cibles) avaient bien été installés, et ce, sans déclencher aucune alerte.

Une fois la méthode vérifiée et prouvée, le chercheur a contacté les sociétés concernées pour leur dévoiler son procédé. Une découverte qui lui a déjà permis de recevoir plus de 130 000 dollars en bug bounty, et cette somme devrait s'accroitre avec une récompense supplémentaire confirmée par Apple.

Sources : 9to5Mac, BleepingComputer

Par Nathan Le Gohlisse

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Articles de Nathan Le Gohlisse

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Sans_Plot

Bravo a lui, récompense mérité je pense vu ce que ça pourrait faire perdre aux entreprises

Garden_Dwarf

« Heureusement, le responsable de l’attaque était un chercheur en sécurité. » … ouf. Non, parce que c’est bien connu que les chercheurs sont bien plus intelligent que les hackers. Du coup on est sûrs que ces failles n’ont jamais été exploitées à mauvais escient, non ? … si ?

exoje

Ouais, n’importe qui de malveillant, mais compétent n’ira pas le crier sur les toits s’il découvre une telle faille, le but, c’est que ca dure un max de temps pour l’exploiter à fond. Par contre, il doit manquer pas mal d’explication sur le procédé parce que je ne vois pas comment on peut modifier « le nom des paquets », le dépôt bien qu’il soit public, ca reste le créateur de la lib qui peut modifier ca et pas n’importe qui ? Ou je ne comprends pas.

xryl

Il a du réussir à modifier un seul package qu’il contrôlait. Ensuite, il lui suffit d’indiquer dans ses dépendances des fork des librairies OS, le controleur de paquet (npm, yarn) ira les télécharger de toute façon. Le truc c’est de ne pas se faire choper pour la première inclusion de son package (qui doit être propre, après, quasiment personne ne vérifie les mise à jour)

exoje

Ah ouais… donc le gars doit déjà posséder un package qui est utilisait par PayPal rien que ca… Ce n’est clairement pas à la portée du premier venu ?

BBlake

C’est pour cela qu’il passe par des logiciel open-source, le open-source veut dire que le code source est libre donc accessible à tous.

Normalement d’un point de vue sécurité, il faut un serveur intermédiaire à ton réseau LAN pour télécharger les mises à jours et comparer le versioning à des sources officiels pour justement éviter des malotru de forcer des mises à jour en changeant le versioning ou la date de création du fichier.

exoje

Non, tu n’as pas compris mon message, quand je dis qu’il possède un package que PayPal utilise, c’est dans le sens, c’est lui le créateur du package ou du fork de ce package, du coup forcément s’il veut faire une update malicieuse il peut ce le permettre et derrière impacté tout ceux qui utilise son package et qui font une update sans vraiment vérifier ce qu’elle apporte.

BBlake

Hmm j’ai pas lu qu’il possédait quoi que ce soit, il utilise des répertoire open-source c’est tout

exoje

Oui, mais utilisé des répertoires, open-source ne veut pas dire que tu peux modifier ce que PayPal utilises à ta guise, il faut forcément qu’ils aient mordu à l’hameçon à un moment précis, je ne connais pas assez le gestionnaire npm, donc bon peu importe le sujet n’ai pas assez précis tant pis.

phri

exoje: Si ce que vous dites est exact, alors il n’a pas exploité une faille, mais s’est servi de sa position de dev pour créer une faille. Et si c’est effectivement, les montants de bug bounties sont obtenus de façon frauduleuse par abus de confiance.