Comment un ingénieur bénévole a empêché un piratage mondial

Une découverte qui a permis d’éviter la catastrophe. Grâce à Andres Freund, développeur chez Microsoft, le système d’exploitation open source Linux a échappé de justesse à une potentielle cyberattaque massive. Travaillant bénévolement comme mainteneur pour une base de données basée sur Linux, il a en effet trouvé une porte dérobée, soit une faille permettant aux hackers d’accéder secrètement à un logiciel, dans XZ Utils, rapporte le site américain Ars Technica.

Cet ensemble de logiciels gratuits est utilisé dans presque tous les systèmes d’exploitation de Linux pour compresser les fichiers volumineux et ainsi, faciliter leurs transferts. Andres Freund a découvert cette porte dérobée avant qu’elle ne soit répandue plus largement, évitant la compromission de nombreux systèmes Linux.

Moins connue que Windows, cette famille de systèmes d'exploitation open source est pourtant largement utilisé notamment pour les serveurs ou les superordinateurs. Le système d'exploitation mobile Android est aussi basé sur Linux. Une faille est donc un élément majeur pour l'informatique mondiale.

Une consommation anormale

Le développeur de Microsoft a trouvé ce programme malveillant par hasard, alors qu’il réalisait un benchmark (banc d’essai en français) d’une version du système d’exploitation Debian. Comme il l’explique dans un message publié le 29 mars sur Mastodon, il a constaté que des processus SSH, un protocole de réseau permettant de communiquer de manière sécurisée, utilisaient beaucoup de CPU, soit le cerveau d’un ordinateur. Une consommation anormale.

Peu de temps après cette découverte, l’éditeur de logiciel Red Hat a publié une alerte pour prévenir le public de cette menace. La porte dérobée a en effet été détectée dans des distributions Linux expérimentales, comme Fedora Rahwide, et la version bêta de Fedora 40. Une version bêta de Debian a aussi été compromise.

Coupable identifié

Andres Freund a identifié la personne à l’origine de cette porte dérobée. Il s’agit d’un des deux principaux développeurs de XZ Utils, connu sous le pseudonyme de Jia Tan, ou JiaT75. L’installation de ce programme malveillant dans l’ensemble de logiciels remonte à février. Jia Tan est soit directement impliqué, soit son système a été gravement compromis "au vu de l’activité qui s’est déroulée sur plusieurs semaines", a écrit Andres Freund dans son analyse.

"Malheureusement, cette dernière explication semble la moins probable" étant donné que les deux développeurs ont échangé sur des correctifs fournis dans les récentes mises à jour, a-t-il cependant précisé.