Backdoor délibérément installé dans les librairies de compression XZ

Faites le savoir à votre admin système si vous bossez sous Unix, Linux, BSD etc

Faites le savoir à votre admin système si vous bossez sous Unix, Linux, BSD etc

Envoyé par Orme le 3 avril 2024 à 17h41

+ 7 -

Orme Dresseuse de lombriks

https://www.google.com/search?q=xz

Et on m'a accusée d'être raciste lorsque j'ai refusé de mettre à jour XZ dans ma boite parce que « je refuse, je trust pas les Chinois ».

Ha ! Ha ! DANS TA FACE BOSS !

FATALITY !

[ Va faire la danse du « je te l'avais dis » dans le bureau du boss et exige des excuses publiques devant les employés ]
+ 0 -

IPZ En réponse à Orme Vermisseau

Tu as bien raison, faut utiliser des outils de compression bien de chez nous et largement plus performant : https://subnet.fr/
+ 0 -

KukuLele En réponse à Orme Vermisseau

C'est oublié que les noyaux linux et en général UNIX est suspecté d'avoir une backdoor toujours pas révélé. Il y a eu cette histoire de BSD il y a quelques années... j'avoue ne pas retrouver les sources mais c'est incroyable ce que l'être humain à la mémoire courte et/ou sélective.

Edit : https://www.sil...-fbi-43430.html
+ 1 -

gloupi En réponse à Orme Lombric Shaolin

Rien n'empêche d'avoir raison ET d'être raciste. Le meilleur des deux mondes en sommes :)
+ 0 -

Bidon85 En réponse à gloupi Vermisseau

Je croyais qu'être Chinois était une nationalité, pas une race.

On en apprend tout les jours.
+ 3 -

gloupi En réponse à Bidon85 Lombric Shaolin

Nan y'a les chinois de chine, les chinois du japon, du vietnam, du laos. Y'a trop de chinois de toute façon
+ 0 -

GruikMan En réponse à Orme Vermisseau

Et le fouet en public aussi hein !!
+ 24 -

Oblivionis Taret

Je sait pas ce que c'est une librairie de compression XZ.

Mais j'ai déjà été dans une librairie, et j'ai déjà vu une ZX se faire compresser dans une case auto.

Et concernant les backdoors, j'ai bien une idée, mais c'est encore plus éloigné de l'informatique...
+ 6 -

Potiche En réponse à Oblivionis Super vilain

Etonnement, le concept de backdoor en informatique est relativement similaire à celui auquel tu penses. Dans les deux cas tu as mal aux fesses à la fin !
+ 0 -

Jomil En réponse à Oblivionis Vermisseau

La backdoor, c'est bien ce que tu penses.
Tu la laisses ouverte à qui tu veux mais si un inconnu l'emprunte, c'est rarement bon
+ 2 -

KukuLele En réponse à Oblivionis Vermisseau

Un backdoor très célèbre, qui fait un jeu de mot avec un logciel d'un grand éditeur et qui est resté célèbre (le backdoor, pas le logiciel) : Back Orifice.
+ 5 -

Bidon85 Vermisseau

Il ne faut pas non plus paniquer, tout le monde n'est pas touché, cela concernerait XZ 5.6 et supérieur qui n'a pas forcément été déployé, exemple : https://ubuntu....y/CVE-2024-3094

Des tentatives comme ça, il doit y en avoir régulièrement. Il doit même y en avoir des cachés entre différents projets et qui ne sont exploitable que si tu as une série particulière d'outil.
+ 5 -

Maltaa Vermisseau

j'ai rien compris mais je +1
+ 6 -

Bidon85 En réponse à Maltaa Vermisseau

En gros, un pirate à jouer les contributeurs pendant pas mal de temps afin de gagner la confiance des autres contributeur, il a réussi à intégrer discrètement des portes dérobées dans un algorithme de compression qui est massivement utilisé notamment par des outils de contrôles à distance utilisé couramment par la maintenance informatique.

Ça peut permettre à un pirate de se faire passer pour un administrateur accédant à distance alors que ce n'est pas la cas.
+ 15 -

Maltaa En réponse à Bidon85 Vermisseau

Après j'ai jamais demandé à ce qu'on m'explique non plus mais +1 pour l'effort
+ 1 -

lebaud07 En réponse à Bidon85

Ça confirme que les gens ne vérifient pas ce qui est codé...
+ 6 -

AlexKevler En réponse à lebaud07 Jeune asticot

Enfin là, c'était plus que "pas vérifié". La backdoor est cachée en binaire dans un test unitaire qui se décompressait dans une condition particulière, en vrai même en auditant le code ça pouvait passer inaperçu pendant un moment.
Le problème de ces librairies, c'est qu'elles sont maintenues par un seul bonhomme (exemple: Curl), et qu'il n'y a personne d'autres qui s'y intéresse, malgré que ça soit une lib/outil important voire principale côté Linux...
+ 0 -

Flaneur Ver TikToké

Est ce qu’on peut dire de Linux que quand le service est gratuit c’est vous le produit . Ou alors je vais me faire crucifier par les pro Linux
+ 4 -

alextazy0 En réponse à Flaneur Asticot

je vote pour la tuxifiction!
+ 2 -

glurp En réponse à Flaneur LoMBriK addict !

Je te conseille cette vidéo sur le sujet :
https://youtu.b...hrTX8Dmxe_XxLXJ

Le gars est un ancien développeur de Windows (le Task Manager, c'est son idée) et il a un avis intéressant sur le sujet.
En gros, selon lui l'argument "c'est open source donc c'est safe" ne tient pas, car ce n'est pas la quantité de reviewers qui compte mais leur qualité.
+ 0 -

Bidon85 En réponse à glurp Vermisseau

Même un très bon "reviewer" peut passer à côté de problèmes. Les environnements sont des empilements monstrueux de bibliothèque ce qui donne une complexité telle que peu personne peuvent avoir une vision complète du fonctionnement.

Plus c'est complexe, plus il est possible d'avoir des usages détournées de certaines fonctions alors qu'elles sont utilisées depuis des décennies sans problèmes et passée en revue régulièrement pour vérifier que les nouvelles fonctionnalités ne pose pas de problème ou qu'une autre faille découverte n'a pas d'impact.
Voir l'exemple de wannacry et de la faille EternalBlue qui était présente de Windows NT4.0 à Windows 10.
+ 3 -

KukuLele En réponse à Flaneur Vermisseau

Il y a un raccourci faux qui est tenace malgré les rappels systématiques : opensource ne veut pas dire "gratuit". Ce n'est pas la base de l'opensource. L'opensource = tu DOIS publier les sources du logiciel. Point final.
Il y a des entreprises qui ont un business model tout à fait fonctionnel autour de l'opensource, c'est le cas de Red Hat. A travers les contributions au libre de ses employés à travers ses technologies (Fedora, anciennement CentOS) et leur permet en retour de proposer un OS et des services autour très efficaces de leur OS (RHEL, Red Hat Entreprise Linux).

Enfin, je ne comprend jamais pourquoi on a cette tendance à voir le problème "à l'envers". Dire que les sources sont accessibles donc n'importe qui peut y mettre n'importe quoi, ce n'est pas le bon raisonnement. Le bon raisonnement est de se dire que tout le monde peut vérifier. C'est au contraire plus rassurant que les sources fermées dont le code n'est auditable qu'en interne, donc sur une base faible du nombre de personnes.
+ 1 -

alextazy0 Asticot

Arg!!! NooooooOOOOnnn!!!! En temps que linuxiens on a presque faillit connaître le quotidien d'un utilisateur windoz / macos!!!
+ 0 -

nimajneB LoMBriK addict !

Je sais pas ce que ça veut dire mais maintenant je flippe à fond ! dans quel monde vit-on ?!
+ 2 -

GruikMan En réponse à nimajneB Vermisseau

Le monde de flippé le dauphin !!!
+ 0 -

Novacreat Lombric

Ouais non mais trop, c'est pas cool quand c'est plein.
+ 3 -

Orme Dresseuse de lombriks

J'avoue je me suis un peu emballée dans ma jubilation de pouvoir envoyer chier mon boss ^_^

Pour ceux qui ne comprennent pas : les données, ça prends beaucoup de place.
Donc quand tu les déplace, ça prends beaucoup de temps.
Donc pour que le flux de data reste gérable, on utilise diverses astuces ( déduplication, compression, transmission différentielle, etc, etc ) pour faire circuler le moins de données possible, quitte à les démonter à l'envoi ( compression ) et les reconstruire à l'arrivée ( décompression ) si ça prends moins de temps et de place que tout envoyer brut.

XZ est un de ces outils de compression, souvent utilisé dans le monde UX car il est de base dans le système, compresse très bien, et est facilement automatisable. ( Personnellement j'utilise plus souvent ZPAQFranz que XZ mais quand tu veux squeezer je moindre bit pour gagner de la place, XZ )

Le développeur principal, Lasse Collins, overbooké par son travail, a laissé rentrer une entité chinoise, Jian Tian, dans l'équipe en 2022 afin de l'aider à faire le développement de cet outil.

Et là, il vient de se faire choper car on a découvert que depuis deux ans, petit à petit, il intégrait un logiciel malveillant camouflé dans XZ.

Les soupçons pointent vers un ou plusieurs employé[s] du gouvernement chinois qui tentaient ainsi d'implanter un espion dans énormément de systèmes mondiaux.
+ 2 -

GruikMan En réponse à Orme Vermisseau

Je propose qu'on lui défonce le backdoor à ce Jian Tian...
+ 0 -

jul Lombric

Il y a pire que le grand public ne connaît pas ... et ce n'est même pas introduits par des espions mais par problème de prétention des concepteurs du protocole d'interopérabilité et facturation des réseaux 5G (d'ailleurs la 5G a imposé ce système au TELCO, si vous avez un réseau 5G ... vous avez du DIAMETER et du SS7 qui traîne a minima aux passerelles).
Il était une fois des madarins universitaires et chef de projets (dont UE) experts en powerpoint qui décidèrent de concevoir un meilleur protocole que l'existant.
Et comme ils étaient prétentieux -avant même de le développer- ils décidèrent d'appeler leur protocole remplaçant RADIUS (rayon) : DIAMETER (diamètre) car : pouf pouf pouf DIAMÈTRE = 2 x RAYON.

Ça fait 15 ans que tout le monde dans le métier sait que c'est un trou de sécu mal branlé. Il y a même des publis pour les recenser.
Et seulement cette année, l'autorité de régulation US propose d'éventuellement, potentiellement le corriger.
Pour info, ce protocole (avec son copain SS7) est tellement mal branlé qu'il faut juste le jeter à la poubelle et revoir la copie.
https://www.the...c_ss7_security/
Inscrivez-vous ou Connectez-vous pour envoyer un commentaire
55