Apple, Tesla, Microsoft et plus de 30 autres grandes entreprises, piratées avec succès par un chercheur

Nathan Le Gohlisse
Spécialiste Hardware
11 février 2021 à 16h00
10
piratage-hacking-hacker.jpg © Pixabay
© Pixabay

Apple, Tesla, Microsoft, PayPal, Netflix, Yelp ou encore Uber font partie de la grosse trentaine de sociétés ayant vu leurs systèmes internes être piratés par le biais d'une nouvelle approche, exploitant leur base open-source. Heureusement, le responsable de l'attaque était un chercheur en sécurité.

Pour de nombreuses entreprises, utiliser des répertoires open-source est une solution commode pour concevoir, perfectionner ou ajouter des fonctionnalités à leurs systèmes internes. Une méthode utilisée par de nombreux géants de la Tech, mais dont un chercheur vient de démontrer les limites en termes de sécurité.

Attaquer des systèmes en compromettant leur source

Comme l'explique Bleeping Computer, le principe de l'attaque dévoilée par Alex Birsan consiste à uploader des malwares directement dans des répertoires open-source comme PyPI, npm ou RubyGems, utilisés par des grandes compagnies. Aucune intervention de la victime ou de l'entreprise cible n'est alors nécessaire puisque les logiciels malveillants uploadés sont distribués automatiquement aux systèmes internes qui ont recours à ces répertoires, et ce, après une simple manipulation.

« Alex Birsan a eu l'idée en travaillant avec un autre chercheur, Justin Gardner. Gardner avait partagé avec Birsan un fichier manifeste (package‧json) provenant d'un package npm utilisé en interne par PayPal », lit-on. « Birsan a alors remarqué que certains des paquets du fichier manifeste n'étaient pas présents sur le dépôt public de npm mais étaient en fait des paquets npm créés par PayPal en privé, utilisés et stockés en interne par la société ».

Restait alors à découvrir lequel des deux types de paquets était prioritaire. Alex Birsan a rapidement compris que c'était celui du dépôt public. Pour infiltrer les systèmes de PayPal (et de bien d'autres…), il suffisait par conséquent de modifier le nom des paquets prioritaires pour qu'ils soient automatiquement téléchargés. Parfois, ajouter des numéros de versions ultérieures était néanmoins nécessaire pour forcer le téléchargement.

Une découverte à plus de 130 000 dollars

Comme l'indique 9to5Mac, Birsan a par la suite dû prouver que les paquets qu'il avait trafiqués (sans faire courir de risque aux systèmes cibles) avaient bien été installés, et ce, sans déclencher aucune alerte.

Une fois la méthode vérifiée et prouvée, le chercheur a contacté les sociétés concernées pour leur dévoiler son procédé. Une découverte qui lui a déjà permis de recevoir plus de 130 000 dollars en bug bounty, et cette somme devrait s'accroitre avec une récompense supplémentaire confirmée par Apple.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
7
Sans_Plot
Bravo a lui, récompense mérité je pense vu ce que ça pourrait faire perdre aux entreprises
Garden_Dwarf
« Heureusement, le responsable de l’attaque était un chercheur en sécurité. » … ouf. Non, parce que c’est bien connu que les chercheurs sont bien plus intelligent que les hackers. Du coup on est sûrs que ces failles n’ont jamais été exploitées à mauvais escient, non ? … si ?
exoje
Ouais, n’importe qui de malveillant, mais compétent n’ira pas le crier sur les toits s’il découvre une telle faille, le but, c’est que ca dure un max de temps pour l’exploiter à fond. Par contre, il doit manquer pas mal d’explication sur le procédé parce que je ne vois pas comment on peut modifier « le nom des paquets », le dépôt bien qu’il soit public, ca reste le créateur de la lib qui peut modifier ca et pas n’importe qui ? Ou je ne comprends pas.
xryl
Il a du réussir à modifier un seul package qu’il contrôlait. Ensuite, il lui suffit d’indiquer dans ses dépendances des fork des librairies OS, le controleur de paquet (npm, yarn) ira les télécharger de toute façon. Le truc c’est de ne pas se faire choper pour la première inclusion de son package (qui doit être propre, après, quasiment personne ne vérifie les mise à jour)
exoje
Ah ouais… donc le gars doit déjà posséder un package qui est utilisait par PayPal rien que ca… Ce n’est clairement pas à la portée du premier venu ?
BBlake
C’est pour cela qu’il passe par des logiciel open-source, le open-source veut dire que le code source est libre donc accessible à tous.<br /> Normalement d’un point de vue sécurité, il faut un serveur intermédiaire à ton réseau LAN pour télécharger les mises à jours et comparer le versioning à des sources officiels pour justement éviter des malotru de forcer des mises à jour en changeant le versioning ou la date de création du fichier.
exoje
Non, tu n’as pas compris mon message, quand je dis qu’il possède un package que PayPal utilise, c’est dans le sens, c’est lui le créateur du package ou du fork de ce package, du coup forcément s’il veut faire une update malicieuse il peut ce le permettre et derrière impacté tout ceux qui utilise son package et qui font une update sans vraiment vérifier ce qu’elle apporte.
BBlake
Hmm j’ai pas lu qu’il possédait quoi que ce soit, il utilise des répertoire open-source c’est tout
exoje
Oui, mais utilisé des répertoires, open-source ne veut pas dire que tu peux modifier ce que PayPal utilises à ta guise, il faut forcément qu’ils aient mordu à l’hameçon à un moment précis, je ne connais pas assez le gestionnaire npm, donc bon peu importe le sujet n’ai pas assez précis tant pis.
phri
exoje: Si ce que vous dites est exact, alors il n’a pas exploité une faille, mais s’est servi de sa position de dev pour créer une faille. Et si c’est effectivement, les montants de bug bounties sont obtenus de façon frauduleuse par abus de confiance.
Voir tous les messages sur le forum

Lectures liées

Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Plusieurs vulnérabilités ont été trouvées dans WP Fastest Cache, un plugin WordPress populaire
Acer s’est fait voler des données pour la deuxième fois et par le même groupe de hackers
VPN : Surfshark fait encore chuter ses prix pour un deal immanquable (-80%)
Des hackers chinois piratent iOS 15.0.2 en quelques secondes, mais Apple n'est pas leur seule victime
Haut de page