Ce chercheur en sécurité a profité d’une faille dans l’intégration de librairies logicielles. Elle permettait d’infiltrer des codes malveillants sur les serveurs internes d’Apple, Microsoft, Paypal, etc.
Le chercheur en sécurité Alex Birsan a réussi le tour de force de pirater les infrastructures de 35 entreprises high-tech, en raison d’une mauvaise manière de programmer malheureusement très répandue.
Le problème se situe au niveau des inclusions de librairies des langages Python, Ruby et JavaScript. Les éditeurs s’appuient à la fois sur des librairies publiques et privées. Mais Alex Birsan a remarqué qu’il était possible de repérer assez facilement le nom des librairies privées utilisées et qu’il était possible d’usurper leur identité.
En effet, les plates-formes logicielles non seulement ne vérifient pas l’authenticité des librairies qu’elles intègrent, mais en plus elles préfèrent souvent récupérer les paquets logiciels sur des dépôts publics. Pour infiltrer ces infrastructures, il suffisait donc de créer des clones malveillants de ces librairies sur des dépôts publics avec un numéro de version plus récent.
Résultat : ses codes ont été automatiquement exécutés dans les réseaux internes de plus de 35 éditeurs, dont Apple, Microsoft et Paypal.
Pour le prouver, il a récolté quelques informations sur les serveurs sur lesquels il s’est retrouvé et les a exfiltré de manière camouflée dans des flux DNS.
Le hacker a réalisé ces démonstrations systématiquement dans le cadre de programmes « bug bounty », ce qu’il lui a permis de gagner plus de 130 000 dollars de récompense.
Source : Note de blog