© Pixabay
© Pixabay

Apple, Tesla, Microsoft, PayPal, Netflix, Yelp ou encore Uber font partie de la grosse trentaine de sociétés ayant vu leurs systèmes internes être piratés par le biais d'une nouvelle approche, exploitant leur base open-source. Heureusement, le responsable de l'attaque était un chercheur en sécurité.

Pour de nombreuses entreprises, utiliser des répertoires open-source est une solution commode pour concevoir, perfectionner ou ajouter des fonctionnalités à leurs systèmes internes. Une méthode utilisée par de nombreux géants de la Tech, mais dont un chercheur vient de démontrer les limites en termes de sécurité.

Attaquer des systèmes en compromettant leur source

Comme l'explique Bleeping Computer, le principe de l'attaque dévoilée par Alex Birsan consiste à uploader des malwares directement dans des répertoires open-source comme PyPI, npm ou RubyGems, utilisés par des grandes compagnies. Aucune intervention de la victime ou de l'entreprise cible n'est alors nécessaire puisque les logiciels malveillants uploadés sont distribués automatiquement aux systèmes internes qui ont recours à ces répertoires, et ce, après une simple manipulation.

« Alex Birsan a eu l'idée en travaillant avec un autre chercheur, Justin Gardner. Gardner avait partagé avec Birsan un fichier manifeste (package‧json) provenant d'un package npm utilisé en interne par PayPal », lit-on. « Birsan a alors remarqué que certains des paquets du fichier manifeste n'étaient pas présents sur le dépôt public de npm mais étaient en fait des paquets npm créés par PayPal en privé, utilisés et stockés en interne par la société ».

Restait alors à découvrir lequel des deux types de paquets était prioritaire. Alex Birsan a rapidement compris que c'était celui du dépôt public. Pour infiltrer les systèmes de PayPal (et de bien d'autres…), il suffisait par conséquent de modifier le nom des paquets prioritaires pour qu'ils soient automatiquement téléchargés. Parfois, ajouter des numéros de versions ultérieures était néanmoins nécessaire pour forcer le téléchargement.

Une découverte à plus de 130 000 dollars

Comme l'indique 9to5Mac, Birsan a par la suite dû prouver que les paquets qu'il avait trafiqués (sans faire courir de risque aux systèmes cibles) avaient bien été installés, et ce, sans déclencher aucune alerte.

Une fois la méthode vérifiée et prouvée, le chercheur a contacté les sociétés concernées pour leur dévoiler son procédé. Une découverte qui lui a déjà permis de recevoir plus de 130 000 dollars en bug bounty, et cette somme devrait s'accroitre avec une récompense supplémentaire confirmée par Apple.