L'attaque dérobée de la chaîne d'approvisionnement de XZ Utils révèle un incident de vulnérabilité similaire survenu il y a des années

La récente révélation d'une porte dérobée dans XZ Utils a rappelé à un développeur de F-Droid, un référentiel d'applications Android open source, un incident passé. Andres Freund, responsable de PostgreSQL, a sonné l'alarme concernant une porte dérobée trouvée dans la bibliothèque de compression de données Liblzma (XZ Utils) fin mars. Cette bibliothèque est largement utilisée par les développeurs et est préinstallée dans diverses distributions Linux. Initialement pensé pour permettre le contournement de l'authentification SSH, un examen plus approfondi a révélé qu'il facilitait en réalité l'exécution de code à distance, désigné comme vulnérabilité CVE-2024-3094.

Les attaques de la chaîne logistique contre les logiciels open source ne sont pas rares, mais ce qui distingue cet incident est sa durée apparente sur plusieurs années. Hans-Christoph Steiner, responsable de F-Droid, a rappelé un événement similaire en 2020. Dans ce cas, une tentative d'insertion d'une vulnérabilité d'injection SQL avait été faite, mais elle a été contrecarrée. La similitude entre les deux incidents réside dans la pression exercée par des comptes aléatoires pour inclure du code malveillant.

Steiner pense que la tentative d'insertion de la vulnérabilité était intentionnelle, étant donné la suppression ultérieure du compte de l'auteur de la publication. Dans l’affaire XZ Utils, la porte dérobée a été attribuée à un individu nommé Jia Tan, ou JiaT75, qui pourrait être une identité fictive créée par un acteur malveillant sophistiqué. L'implication de Jia Tan dans le projet a commencé de manière anodine en octobre 2021, pour devenir progressivement des contributions significatives d'ici la mi-2023, potentiellement en préparation d'une porte dérobée.

La porte dérobée a finalement été ajoutée en février 2024 et découverte un mois plus tard par Freund, avant une large diffusion. Collin, le principal développeur de XZ Utils, mène une enquête sur la question. Dan Lorenc, un expert en sécurité de la chaîne d'approvisionnement logicielle, a mis en garde contre de telles attaques à long terme dans un podcast en 2022, suggérant que des équipes de piratage gouvernementales pourraient être impliquées.

La question qui reste en suspens est de savoir si des incidents similaires, éventuellement orchestrés par les mêmes acteurs ou par des acteurs différents, surgiront à l’avenir. À mesure que Collin approfondit l’enquête, davantage de détails devraient émerger, mettant en lumière l’étendue et les implications de la porte dérobée XZ Utils.