35 compagnies célèbres ont montré des failles dans leur système informatique : Apple, Netflix, Tesla, Microsoft, PayPal et bien d’autres. Le chercheur a pu y introduire des fichiers de sa création.
Un scénario cauchemardesque pour les responsables informatiques de grandes sociétés s’est déroulé il y a peu. Alex Birsan, chercheur en sécurité informatique, a pu introduire des fichiers de façon furtive sur les serveurs de nombreuses entreprises.
Suite à la découverte d’une faiblesse dans le fonctionnement des systèmes open source, le chercheur s’est demandé s’il pouvait exploiter la faille pour infecter, virtuellement parlant puisque ses fichiers étaient inoffensifs, de grands noms de la tech.
« Le taux de réussite était tout simplement incroyable, » déclare-t-il. Heureusement dénué de mauvaises intentions, le chercheur a prévenu les victimes qui lui ont versé une prime en contrepartie. Cet exercice de piratage lui aura permis de gagner plus de 130 000 dollars dont la moitié est à mettre au crédit d’Apple et Microsoft.
Le déroulement de l’attaque
Tout commence lorsque Birsan découvre un nom de paquet utilisé en interne par PayPal et non référencé sur le domaine public. Il lui vient alors l’idée de créer une variante utilisant le même nom et de l’héberger sur un serveur open source. Et c’est là que l’histoire commence. Le système de PayPal est venu chercher en priorité le paquet hébergé en open source plutôt que celui qui est sur les serveurs internes de l’entreprise.
En effet, la faille est de taille, de nombreux logiciels vont tenter de résoudre leur dépendance de paquet en allant chercher les versions les plus récentes sur les serveurs open source. En priorisant ainsi le distant au local, ces applications ouvrent une brèche de taille dans les systèmes informatiques.
Alex Birsan a donc créé un ensemble de fichiers contrefaits puis les a mis en ligne pour les retrouver directement sur les serveurs privés de grandes entreprises sans que personne se soit rendu compte du forfait. Cette méthode contourne donc les grands classiques du piratage informatique et ne nécessite pas de s’en prendre à un utilisateur en interne grâce à une technique de « phishing » par exemple.
Une brèche de sécurité critique
La découverte des failles de sécurité n’est pas une chose rare. Récemment, une faille découverte sur iOS permettait à des hackers de prendre le contrôle d’un iPhone sans le toucher. Pire encore, CD Projekt, déjà en difficulté par rapport à Cyberpunk, subit le chantage de pirates informatiques qui réclament une rançon pour ne pas diffuser les codes sources de plusieurs jeux et des documents confidentiels.
Heureusement pour les sociétés victimes du chercheur, aucun code malveillant n’était présent dans les fichiers modifiés et le piratage de grande envergure n’avait pour but que d’améliorer la sécurité. Si les plus sceptiques pensent que déposer un fichier sur un serveur et y exécuter un code malveillant sont deux choses bien différentes, sachez qu’Apple a confirmé à Birsan qu’avec la méthode utilisée, il aurait pu exécuter un code sur les serveurs à l’insu des employés.
Espérons donc pour nos données et pour la sécurité des entreprises que ce genre de failles sera découvert en priorité par des chercheurs bien intentionnés plutôt que par des pirates avides de profits.
Sécurité : 10 règles pour se protéger des attaques sur Internet
Source : BGR
