Qui est Jia Tan, et comment ce hacker a failli contrôler des millions de sites internet !

Vincent Mannessier
02 avril 2024 à 17h02
24
Une tentative de piratage extrêmement ambitieuse vient d'être repérée © Apichatn21 / Shutterstock
Une tentative de piratage extrêmement ambitieuse vient d'être repérée © Apichatn21 / Shutterstock

Un développeur de chez Microsoft se demandait ce qui pouvait bien causer cette demi-seconde de chargement supplémentaire dans son logiciel. Réponse : une backdoor qui aurait pu donner accès à la quasi-totalité de l'Internet connu si elle n'avait pas été découverte à temps.

C'est donc uniquement par chance qu'Andres Freund a découvert la faille de sécurité intégrée à un outil d'administration open source immensément populaire. Les acteurs derrière cette tentative extrêmement ambitieuse ne sont pas connus, mais il a vraisemblablement fallu des ressources et du temps dont un hacker seul ne dispose probablement pas.

Une backdoor pour accéder à la quasi-totalité des sites internet

Le vendredi 29 mars, Andres Freund, développeur chez Microsoft, poste sur son forum et sur Mastodon avoir découvert une importante faille de sécurité dans les dernières versions de XZ, une librairie de compression de données. En effet, après avoir mis cette dernière à jour, il a découvert que la connexion sécurisée prenait une demi-seconde de plus qu'auparavant. C'est en enquêtant sur l'origine de cette différence qu'il a trouvé la backdoor.

L'alerte aura heureusement été donnée à temps, car seules les deux dernières versions de XZ contiennent cette backdoor, et la majorité des systèmes ne les ont pas encore installées. Heureusement, car la plupart des serveurs hébergeant des sites internet dans le monde fonctionnent sous Linux. Et XZ y est installé par défaut, en venant avec OpenSSH, un outil d'administration largement utilisé par les développeurs.

Sans la découverte de Freund, et si ces mises à jour avaient été déployées massivement, les acteurs à l'origine de cette gigantesque faille auraient donc eu accès à une large part de l'Internet connu et été libres d'en abuser comme bon leur aurait semblé. Reste à savoir de qui il s'agit.

La catastrophe a été évitée de justesse grâce à Andres Freund © rafapress / Shutterstock
La catastrophe a été évitée de justesse grâce à Andres Freund © rafapress / Shutterstock

Mais qui est Jia Tan ?

La backdoor a donc été glissée dans la librairie XZ. Cette dernière, qui est déployée pour le développement d'innombrables sites et logiciels, n'est pourtant qu'un projet open source développé au début des années 2000 par un seul homme, Lasse Collin. Ce dernier l'a maintenue et mise à jour pendant des années avant d'expliquer, en juin 2022, qu'il n'avait plus l'énergie ni la volonté de s'en occuper, et s'apprêtait à passer la main. Aussi incroyable que cela puisse paraître, cette librairie primordiale pour la sécurité de larges pans d'Internet reposait donc sur les épaules d'un seul bénévole.

C'est alors qu'est apparu un certain Jia Tan, qui n'a pas d'existence préalable connue, dans le projet. Il a commencé à faire ses propres modifications au projet XZ, y prenant de plus en plus d'importance, jusqu'à en prendre le contrôle en janvier 2023. Il a attendu un an de plus, jusqu'en février 2024, pour y ajouter une backdoor, qui aurait bien pu ne jamais être découverte sans la minutie d'Andres Freund.

Mais qui est donc ce Jia Cheong Tan ? Sans surprise, nombreux ont été ceux qui ont enquêté sur cette personne depuis la découverte. Les trois parties de son nom affiché sont certes chinoises, mais toutes sont originaires de régions et de langages différents du pays. Il semble donc probable que quelqu'un ait simplement mixé des noms chinois pour donner le change. La piste du hacker isolé paraît également peu crédible au vu du temps et des ressources investies, ou même des capacités d'exploitation d'une faille aussi massive. Un service de renseignements, un puissant groupe de hackers, voire carrément un État sont donc des suspects plus probables…

Source : OpenWall, Rémy piaille sur Mastodon

Vincent Mannessier

Vincent Mannessier

Rédacteur indépendant depuis des années, j'ai rédigé plus de 1.000 articles sur Internet sur une large variété de sujets. J'aime tout particulièrement écrire sur les actualités des réseaux sociaux et...

Lire d'autres articles

Rédacteur indépendant depuis des années, j'ai rédigé plus de 1.000 articles sur Internet sur une large variété de sujets. J'aime tout particulièrement écrire sur les actualités des réseaux sociaux et des GAFAM, mais les jeux vidéos et l'innovation numérique en général me passionnent aussi.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (24)

Baxter_X
Backdoor → porte dérobée<br /> En français c’est beaucoup mieux.
PaowZ
C’est donc uniquement par chance qu’Andres Freund<br /> …par «&nbsp;chance&nbsp;», ça aurait été s’il était tombé sur le code correspondant, par hasard… Là, c’est plutôt l’intuition d’un dev chevronné qui a investigué sur cette seconde de trop.<br /> Par contre, étant opensource, d’autres contributeurs auraient pu tomber dessus, mais si le projet est peu soutenu, en effet, alors… ^^
thioli
PaowZ:<br /> étant opensource, d’autres contributeurs auraient pu tomber dessus<br /> Pas vraiment, car la faille n’apparaissait pas dans le code source, mais elle était injectée lors de la compilation ! Une technique élaborée et très vicieuse Comme le dit CluClu, il y a certainement un gros poisson derrière tout ça !
kast_or
Oui, vous n’avez pas tord mais cela dit, dans le monde l’informatique PERSONNE ne dit «&nbsp;porte dérobée&nbsp;» mais bien backdoor.<br /> C’est discutable mais c’est comme ça
PaowZ
mais elle était injectée lors de la compilation<br /> Ah ouais, en effet ! Si c’est pendant la compilation… Merci pour la précision…
Baxter_X
Je suis dans l’informatique et je dis porte dérobée. Et je fais l’effort d’utiliser un maximum de termes français et pas d’anglissismes
mcbenny
anglicisme.<br /> Et pour ma part je travaille dans un environnement anglo-saxon donc bon…
Rainforce
Baxter_X:<br /> Je suis dans l’informatique et je dis porte dérobée.<br /> Moi je suis dans la patisserie et je dis porte enrobée.
OliverS
AngliCisme c’est mieux si vous tenez à parler et écrire le français. Après ce sont des termes techniques et il n’est pas rare que dans certains milieux les gens n’utilisent pas la traduction. Traduction qui il faut bien l’avouer parfois est juste ridicule.<br /> Au passage, vous faites comment avec le terme latin comme forum ?
Baxter_X
Je ne traduits pas les termes latins. Ils sont la racine de notre langue.<br /> L’anglais est une forme d’envahissement de notre langue. C’est la toute la différence.<br /> Accepter un terme anglais sans faire l’effort de trouver son équivalent français est un révélateur de paresse intellectuelle et une acceptation de cet envahissement.
Baxter_X
Oui mais a chaque fois que je me mets a utiliser les termes français, les gens se mettent a les utiliser.<br /> Il fait arrêter d’accepter sans se poser de question mais au contraire lutter.
Baxter_X
Je l’ai fait aussi et j’ai utilisé les termes français
youmetooandyou
comment peut-on injecter du code lors de la compilation ? Sauf à injecter avec des librairies foireuses ou corrompues, et dans ce cas il faudrait analyser le code source de ces librairies .
Shipofu
Je pense surtout qu’on s’en fou en faite. Nos métiers tendent vers l’internationalisation, il est donc normal d’utiliser des expressions elles-aussi compréhensible à l’internationale.<br /> Qu’on soit chinois, anglais, français, italien ou russe, backdoor parlera à tous. Porte dérobée, non.<br /> Qu’un article traitant d’un sujet comme celui-la ayant des termes techniques internationalisés, utilise ces termes techniques… C’est du bon sens. Le pro-nationalisme n’a rien à faire la dedans
ShuntUp
@ youmetooandyou<br /> Si tu veux avoir des détails techniques sur toute l’affaire :<br /> gynvael.coldwind.pl<br /> xz/liblzma: Bash-stage Obfuscation Explained<br /> (et pour une timeline plus résumée : Everything I know about the XZ backdoor)
Baxter_X
Le nationalisme n’a absolument rien a voir la dedans!<br /> C’est une question de conservation de la langue et du remplacement progressif des termes français par des termes anglais. C’est la le problème.<br /> Si encore il y a avait une réciprocité, ça irait. Mais ce n’est absolument pas le cas.
louchi
Chacun son truc, perso je supporte pas de lire un truc technique informatique en FR.<br /> Par exemple les liens en hhttps://learn.microsoft.com/fr-fr/<br /> je m’empresse de mettre en-us. Par exemple, c’est illisible en FR, ça: Cluster de basculement Windows Server avec SQL Server - SQL Server Always On | Microsoft Learn<br /> D’ailleurs ils ont pas traduit le «&nbsp;SQL AlwaysOn&nbsp;» en français, entre autres.<br /> Et dans le code (et commentaires), tout est en anglais, on va pas créer une fonction «&nbsp;obtenirLeJeton&nbsp;» <br /> Après «&nbsp;porte dérobée&nbsp;» sur un article comme ça, ça me choque pas.
ayaredone
Moins aujourd’hui, mais le nombre de mots anglais (et même russe) qui viennent du français, c’est hallucinant !
Baxter_X
Je partage totalement ce que tu écris. Il faut faire preuve de discernement a un moment donné.<br /> Même si je lutte contre l’invasion de la langue anglaise dans le français, lorsque ça devient vraiment technique il devient difficile de tout remplacer.<br /> Mais oui, porte dérobée ne me semble pas être si exigeant que cela.
Blap
Le latin est la racine principale de notre langue, mais ce n’est pas la seule, d’autres langues tels que l’anglais et l’arabe en font aussi partie<br /> On peut même retrouver des mots français passés à l’anglais pour revenir ensuite au français.<br /> Tu devrais t’intéresser à la linguistique, linguisticae sur YouTube pour n’en citer qu’un<br /> Et comme tu le dis, mieux vaut montrer par l’exemple plutôt que de rabrouer les autres
Baxter_X
Que la langue française, comme toutes les langues, soit construite a partir d’autres. Je ne doute pas!<br /> Je parle simplement de la paresse qui consiste a petit a petit remplacer les termes français existants par des termes anglais. Et cette espèce de colonisation intellectuelle par le biais des anglicismes.
thioli
Ci-dessous, une petite vidéo explicative et instructive sur cette faille<br />
GRITI
MiniMachines.net – 2 Apr 24<br /> La menace XZ ou comment le ciel a failli tomber sur nos têtes<br /> L'histoire de XZ et de son implication ces derniers jours n'est pas digne d'un roman d'espionnage, c'est le matériel même de ces romans<br />
Essylt
Ouah, on a là le début d’un excellent synopsis de thriller complotiste comme je les aime !
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Immersion au cœur du dark web : que contient-il en 2024 ? Tous les dangers révélés en images Immersion au cœur du dark web : que contient-il en 2024 ? Tous les dangers révélés en images
Facebook a 20 ans : retour sur deux décennies de succès et de controverses Facebook a 20 ans : retour sur deux décennies de succès et de controverses
Réseaux Wi-Fi et sécurité des données : qui voit quoi ? Réseaux Wi-Fi et sécurité des données : qui voit quoi ?