Connect with us

Technologie

Les entreprises et les gouvernements sont invités à prendre des mesures contre les attaques de la chaîne d’approvisionnement Trojan Source

Published

on


Les entreprises et les gouvernements ont été invités à prendre des mesures pour se protéger contre les attaques de piratage capables d’injecter des portes dérobées invisibles dans le code source des langages de programmation largement utilisés.

Les attaques Trojan Source peuvent être utilisées par des pirates informatiques ou des États hostiles pour lancer de puissantes attaques contre les chaînes d’approvisionnement de logiciels en déposant du code falsifié dans des bibliothèques et des référentiels de logiciels tels que GitHub.

La technique de piratage, révélée aujourd’hui par des chercheurs de l’Université de Cambridge, peut être utilisée par des attaquants hostiles pour insérer des portes dérobées dans le code source dans presque tous les langages informatiques.

Les attaques exploitent des caractères de contrôle standard pour insérer secrètement du code malveillant dans le code source, ce qui semble inoffensif pour les humains qui l’examinent pour les risques de sécurité potentiels.

Nicholas Boucher et Ross Anderson du laboratoire d’informatique de l’Université de Cambridge ont démontré que C, C ++, JavaScript, Java, Rust, Go et Python sont vulnérables aux attaques de sources de chevaux de Troie.

Ils ont averti dans un document de recherche publié aujourd’hui (1er novembre) que les mêmes attaques pourraient être appliquées à presque tous les langages de programmation qui utilisent des compilateurs de logiciels courants qui utilisent Unicode – la norme internationale pour l’encodage de texte et de scripts.

Les chercheurs de Cambridge ont passé les trois derniers mois à coordonner un programme de divulgation complexe pour permettre aux fournisseurs d’outils logiciels, tels que les compilateurs, les interpréteurs, les éditeurs de code et les référentiels de code, de mettre en place des défenses.

La moitié des organisations contactées par les chercheurs au cours du processus de divulgation travaillent sur des correctifs ou se sont engagées à le faire, mais d’autres, disent les chercheurs, « traînent les pieds ».

Anderson a déclaré qu’il était probable que les mauvais acteurs utiliseront le « truc de la source de cheval de Troie » contre certains compilateurs qui n’ont pas été corrigés pour propager des vulnérabilités logicielles.

« Nous recommandons aux gouvernements et aux entreprises qui s’appuient sur des logiciels critiques d’identifier la posture de leur fournisseur, d’exercer des pressions sur eux pour qu’ils mettent en œuvre des défenses adéquates et de veiller à ce que toutes les lacunes soient couvertes par des contrôles ailleurs dans leur chaîne d’outils », ont déclaré les universitaires.

« Toute entité dont la sécurité repose sur l’intégrité des chaînes d’approvisionnement de logiciels devrait être concernée », ont-ils averti.

Copier et coller

De nombreux développeurs sont heureux de copier et coller du code source non sécurisé à partir de sources en ligne non officielles. Il est donc probable que les attaquants publient du code malveillant avec des vulnérabilités invisibles dans l’espoir qu’ils se retrouveront dans le code de production.

Les chercheurs affirment qu’ils sont incités financièrement à le faire, car il existe un marché lucratif pour les vulnérabilités de sécurité qui peut commander des sommes à sept chiffres pour les plus précieux.

Les attaquants malveillants sont fortement incités à utiliser des attaques Trojan Source pour ajouter de manière malveillante des portes dérobées dans du code authentifié qui persistera dans la nature pendant longtemps.

Attaquer les composants logiciels open source qui sont utilisés par de nombreuses autres applications logicielles signifierait que toute attaque aura « un grand rayon de souffle ».

Les vulnérabilités seraient difficiles, voire impossibles, à détecter par les spécialistes de la sécurité qui examinent le code source non composé.

« Les attaques Trojan Source introduisent la possibilité d’insérer de telles vulnérabilités dans le code source de manière invisible, contournant ainsi complètement le contrôle principal actuel contre elles, à savoir la révision du code source humain », ont déclaré les chercheurs.

Attaques de la chaîne d’approvisionnement

Les attaques de la chaîne d’approvisionnement ont attiré l’attention urgente des gouvernements, y compris les États-Unis, qui ont publié un décret pour améliorer la sécurité de la chaîne d’approvisionnement des logiciels en mai 2021.

Dans l’une des plus grandes attaques de la chaîne d’approvisionnement, FireEye a révélé en décembre 2020, des pirates informatiques d’États-nations ont attaqué avec succès SolarWinds Orion, une plate-forme de surveillance des performances informatiques largement utilisée, pour attaquer les gouvernements et les entreprises du monde entier.

Selon la recherche de l’Université de Cambridge, une fois publiée, les vulnérabilités de la chaîne d’approvisionnement sont susceptibles de persister dans l’écosystème affecté, même si des correctifs sont publiés ultérieurement.

Caractères de contrôle Bidi

Les attaques Trojan Source exploitent les caractères de contrôle bidirectionnels utilisés en Unicode, qui sont utilisés pour permuter entre les langues écrites de gauche à droite, comme l’anglais, et celles écrites de droite à gauche, comme l’arabe ou l’hébreu.

Les attaquants peuvent utiliser les caractères de contrôle, connus sous le nom de caractères de remplacement Bidi, pour insérer du code malveillant dans le code source qui apparaîtra sans pitié à un réviseur humain.

Le code malveillant peut être masqué dans des commentaires ou des chaînes de caractères dans the code source du programme. « Tout développeur qui copie du code à partir d’une source non fiable dans une base de code protégée peut introduire par inadvertance une vulnérabilité invisible », avertissent les chercheurs.

Il existe un besoin « immédiat » pour les organisations d’intégrer des défenses dans leurs référentiels de code et leurs éditeurs de texte utilisés pour écrire du code, ont déclaré les auteurs.

Une façon de le faire est de scanner le code pour la présence de caractères de remplacement Bidi.

Les chercheurs ont trouvé des preuves que des techniques similaires aux attaques Trojan Source avaient déjà été exploitées, bien qu’aucune attaque malveillante n’ait été découverte.

À plus long terme, l’utilisation d’attaques Unicode contre les systèmes de langage naturel sera un problème plus important, a déclaré Anderson.

Ici, les attaquants pourraient utiliser des attaques de type Trojan Source pour perturber les services de traduction automatique, selon un autre article publié par des chercheurs de l’Université de Cambridge.

Cela pourrait perturber le travail des journalistes ou des services de renseignement surveillant les événements à l’étranger, a déclaré Anderson.

« Si les journalistes s’appuient sur la traduction automatique pour surveiller les discours de haine de l’armée birmane contre les Rohingyas, par exemple, alors les propagandistes de l’armée pourraient utiliser des astuces de codage pour empêcher la traduction de leurs affaires, de sorte qu’elles sont beaucoup moins disponibles pour les étrangers », a déclaré Anderson.

Les mêmes techniques pourraient également être utilisées pour compromettre les e-mails professionnels, pour subvertir les algorithmes d’optimisation des moteurs de recherche ou pour désactiver les filtres de détection des discours de haine dans les services de médias sociaux.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance