Logo Spiria
Blogue et discussions
Brèves technos

Redoutable confusion de dépendances

par Laurent Gloaguen
10 février 2021.

Why do hackers always wear hoodies?

Pourquoi les hackers portent-ils toujours des capuches ? © iStock.

Le chercheur en sécurité Alex Birsan a trouvé un moyen redoutablement efficace de faire exécuter son code sur les serveurs de 35 grandes entreprises. L’exploit tire parti d’une astuce relativement simple : remplacer des paquets privés par d’autres au même nom sur des dépôts publics. Les paquets publics sont utilisés par les développeurs pour l’intégration de fonctions logicielles tierces à leurs projets. Ils sont téléchargés à partir de dépôts publics comme npm pour JavaScript, PyPi pour Python et RubyGems pour Ruby. En plus de ces paquets publics, de grandes entreprises développent souvent leurs propres paquets qui restent privés. Elles ne les téléchargent pas sur un dépôt public, mais les distribuent de façon interne à leurs propres développeurs. Alex Birsan a découvert qu’il pouvait trouver facilement dans les dépôts de code publics les noms de ces paquets privés utilisés par les entreprises. Il a alors imaginé qu’il pourrait télécharger son propre code dans des paquets publics ayant le même nom que des paquets privés, et qu’ainsi, les systèmes automatisés des entreprises utiliseraient son code à la place. Et ses tests lui ont prouvé qu’il avait raison. Pour Alex, “une chose était claire : squatter les noms de paquets internes valides était une méthode presque infaillible pour pénétrer dans les réseaux de certaines des plus grandes entreprises technologiques, obtenir l’exécution du code à distance et permettre éventuellement aux attaquants d’ajouter des portes dérobées pendant les compilations”. Parmi les entreprises que Birsan a réussi à attaquer avec cette technique figurent Apple, Microsoft, Netflix, PayPal, Shopify, Tesla, Uber et Yelp. Ce mardi, Microsoft a publié un “livre blanc” de conseils sur les façons d’atténuer les risques liés à l’utilisation de paquets privés.

The Register, Thomas Claburn, “Apple, Microsoft, PayPal among 35 organizations compromised by evil twin dependencies attack.”

The Verge, Mitchell Clark, “Security researcher finds a way to run code on Apple, PayPal, and Microsoft’s systems.”

2021-02-10

 

Découvrez nos histoires
à succès.

Aller à la page

Un projet de développement logiciel?
Contactez-nous!  

Aller à la page