Ouvrir le menu principal

MacGeneration

Recherche

Une porte dérobée très troublante touche xz, un outil courant sous GNU/Linux

Pierre Dandumont

lundi 01 avril 2024 à 12:21 • 45

Ailleurs

En fin de semaine dernière, une porte dérobée a été découverte dans un outil très utilisé dans les distributions GNU/Linux, XZ Utils. Et sa mise en place est particulièrement troublante.

XZ Utils est un outil open source un peu particulier. Il permet de compresser des données avec un algorithme efficace (LZMA, pour Lempel-Ziv-Markov chain algorithm) et reposait jusqu'il y a quelques années sur un seul développeur, Lasse Collin. C'est un cas assez courant, mis en avant dans cette image de xkcd : beaucoup de rouages parfois cruciaux de nos systèmes d'exploitation et applications dépendent d'une seule personne ou d'une équipe très réduite.

Une image encore d'actualité (xkcd)

Il y a quelques jours, un développeur de chez Microsoft (Andres Freund) s'est rendu compte d'un problème de consommation CPU, et a découvert que la dernière version des outils xz (la 5.6) contenait une porte dérobée. Cette dernière n'est pas anodine : quand un programme lié à la connexion en SSH s'exécute (en simplifiant, une méthode de connexion sécurisée sur une machine distante), la porte dérobée permettait une prise de contrôle de la machine avec une clé spécifique. Cette version n'a heureusement pas été intégrée dans la majorité des distributions GNU/Linux, même si quelques-unes (Fedora Rawhide, fedora 41, Debian testing et unstable, openSUSE Tumbleweed et MicroOS et Kali Linux) ont pu être touchées.

Une mise en place très sophistiquée

La partie troublante vient du fait que la porte dérobée est très sophistiquée, extrêmement bien cachée et (surtout) que sa mise en place a pris plusieurs années. La personne qui a intégré la faille dans le code, JiaT75 (Jia Tan) a commencé à contribuer à divers projets open source vers 2021. Il a ensuite commencé à travailler sur XZ Utils début 2023 et a contribué de façon régulière. Et en février 2024, il a donc envoyé une version qui intégrait une porte dérobée. Il a par ailleurs insisté pour tenter d'inclure sa version à jour (compromise) dans certaines distributions, comme Fedora ou Ubuntu. Vous trouverez un bon résumé (régulièrement mis à jour) à cette adresse.

L'ensemble est très bien caché : la version disponible publiquement sur GitHub et celle utilisée dans les distributions étaient par exemple différentes, ce qui est assez courant pour des raisons pratiques. La porte dérobée n'était intégrée que dans la version pour les distributions et était cachée dans des lignes absconses (ce qu'on appelle de l'obfuscation). Elle ciblait les machines basées sur une architecture x86-64 sous GNU/Linux, donc les Mac ne sont pas touchés. Qui plus est, elle ne se déclenche que dans des cas précis et se cache notamment si un programme de débogage est présent sur la machine ciblée.

Dans les faits, la sophistication de l'attaque laisse penser que cette porte dérobée n'est pas anodine et les différents projets auxquels Jia Tan — qui est plus que probablement un pseudonyme — a participé sont scrutés. Et certains considèrent même que les ressources nécessaires et le temps passé pour intégrer la porte dérobée pointent vers une attaque étatique.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Back to School Apple en France : un Mac ou un iPad acheté, des accessoires offerts ou en promo

08:11

• 6


Vos fichiers à l’abri pour toujours : l’offre pCloud qui tombe à pic 📍

07:30

• 0


Prime Day : Microsoft 365 à prix cassé, le bon moment pour renouveler son abonnement

09/07/2025 à 23:28

• 17


Prime Day : nouveaux prix record sur les MacBook Air et Mac mini M4

09/07/2025 à 23:10

• 1


Des aspirateurs robots qui s’intègrent à Apple Maison en promo pour le Prime Day

09/07/2025 à 21:48

• 7


Un cabinet d’analystes souhaite pousser Tim Cook vers la sortie

09/07/2025 à 21:45

• 99


Les offres du Prime Day à ne pas rater : AirPods Pro 2, serrures connectées, iPhone 16e…

09/07/2025 à 21:19

• 20


Test de la BeeStation Plus : le NAS pour ceux qui ne veulent pas de NAS

09/07/2025 à 20:30

• 4


Presto pourrait aussi mettre à jour les Mac sans ouvrir la boîte

09/07/2025 à 19:01

• 38


Prime Day : des promos sur les boitiers USB4, une alternative aux SSD externes clés en main

09/07/2025 à 16:17

• 5


Prime Day : l’excellent SSD externe Corsair USB4 de 1 To à 99 €, son prix le plus bas

09/07/2025 à 15:38

• 5


GlobalFoundries, un fondeur, achète MIPS (star déchue des processeurs) pour ses puces RISC-V

09/07/2025 à 15:15

• 9


Photoshop et le Creative Cloud deviennent plus accessibles pendant le Prime Day

09/07/2025 à 14:53

• 5


FileMaker Pro 2025 : une licence unifiée et toujours plus d'IA

09/07/2025 à 14:22

• 5


Un ingénieur d'Apple a failli se faire virer à cause d'un Easter Egg

09/07/2025 à 13:08

• 20


Starlink propose une alimentation AC/DC pour ses antennes

09/07/2025 à 12:30

• 21