Apple, Tesla, Microsoft et plus de 30 autres grandes entreprises, piratées avec succès par un chercheur

Nathan Le Gohlisse
Spécialiste Hardware
11 février 2021 à 16h00
10
© Pixabay

Apple, Tesla, Microsoft, PayPal, Netflix, Yelp ou encore Uber font partie de la grosse trentaine de sociétés ayant vu leurs systèmes internes être piratés par le biais d'une nouvelle approche, exploitant leur base open-source. Heureusement, le responsable de l'attaque était un chercheur en sécurité.

Pour de nombreuses entreprises, utiliser des répertoires open-source est une solution commode pour concevoir, perfectionner ou ajouter des fonctionnalités à leurs systèmes internes. Une méthode utilisée par de nombreux géants de la Tech, mais dont un chercheur vient de démontrer les limites en termes de sécurité.

Attaquer des systèmes en compromettant leur source

Comme l'explique Bleeping Computer, le principe de l'attaque dévoilée par Alex Birsan consiste à uploader des malwares directement dans des répertoires open-source comme PyPI, npm ou RubyGems, utilisés par des grandes compagnies. Aucune intervention de la victime ou de l'entreprise cible n'est alors nécessaire puisque les logiciels malveillants uploadés sont distribués automatiquement aux systèmes internes qui ont recours à ces répertoires, et ce, après une simple manipulation.

« Alex Birsan a eu l'idée en travaillant avec un autre chercheur, Justin Gardner. Gardner avait partagé avec Birsan un fichier manifeste (package‧json) provenant d'un package npm utilisé en interne par PayPal », lit-on. « Birsan a alors remarqué que certains des paquets du fichier manifeste n'étaient pas présents sur le dépôt public de npm mais étaient en fait des paquets npm créés par PayPal en privé, utilisés et stockés en interne par la société ».

Restait alors à découvrir lequel des deux types de paquets était prioritaire. Alex Birsan a rapidement compris que c'était celui du dépôt public. Pour infiltrer les systèmes de PayPal (et de bien d'autres…), il suffisait par conséquent de modifier le nom des paquets prioritaires pour qu'ils soient automatiquement téléchargés. Parfois, ajouter des numéros de versions ultérieures était néanmoins nécessaire pour forcer le téléchargement.

Une découverte à plus de 130 000 dollars

Comme l'indique 9to5Mac, Birsan a par la suite dû prouver que les paquets qu'il avait trafiqués (sans faire courir de risque aux systèmes cibles) avaient bien été installés, et ce, sans déclencher aucune alerte.

Une fois la méthode vérifiée et prouvée, le chercheur a contacté les sociétés concernées pour leur dévoiler son procédé. Une découverte qui lui a déjà permis de recevoir plus de 130 000 dollars en bug bounty, et cette somme devrait s'accroitre avec une récompense supplémentaire confirmée par Apple.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
7
Voir tous les messages sur le forum

Actualités récentes

Test NVIDIA GeForce RTX 3060 : la carte idéale pour le Full HD (1080p)
Les meilleurs jeux PC et consoles accessibles pour jouer avec (ou contre) vos proches à distance
Vie privée, gaming, sécurité : quel est le meilleur navigateur web selon votre usage ?
Test Vivlio Color : une liseuse couleur pour révolutionner le marché ?
Kings of Leon devient le premier groupe à sortir un album sous forme de tokens non fongibles (NFT)
Test MSI GP76 Leopard : une RTX 3070 très énervée dans une machine équilibrée
The Spy : qui a besoin d'un nouveau James Bond quand Sacha Baron Cohen enquête ?
Avis pCloud (2021) : notre test de ce service de stockage en ligne suisse et vraiment sécurisé
Meilleur VPN : comparatif de mars 2021
Jeu vidéo : la rejouabilité est-elle importante pour vous ?
Haut de page