Je préfère la vidéo de Micode sur le même sujet.

cocadmin ne précise pas :
- Que la découverte de la faille (par hasard) a été réalisée par un développeur allemand de Microsoft bien compétent travaillant sous Debian SID : Andres Freund (on peut quand même remercier Microsoft pour sa plus importante contribution à Linux).
- Que c'est une attaque étatique vu les moyens mis en place avec un cout qui dépasse le million de $ (l'origine la plus probable est la Russie, Israël est également évoqué d'après les études sur les quelques fois où son heure n'a pas été changée). C'est juste rapidement expliqué à la fin de la vidéo de cocadmin.
- L'attaque était particulièrement bien faite, avec une attention particulière pour passer sous les radars.
- Les plaintes sur la lenteur du mainteneur évoqué par plusieurs développeurs étaient probablement des comptes liés à l'attaque étatique, pour faire pression pour que le pirate devienne co-mainteneur.

https://www.youtube.com/watch?v=WQBLPYToLME
La faille n'a jamais été déployée sur les versions stables de Linux, mais l'impact a été très important, avec beaucoup de travail pour que cela ne puisse pas se reproduire. Ubuntu a retardé la bêta d'Ubuntu 24.04 pour faire des vérifications supplémentaires. C'est clairement ce qui a motivé à exclure tous les mainteneurs russes du noyau il y a quelques semaines.

Linus Torvalds :

Ok, il y a beaucoup de trolls russes dans la nature.

La raison pour laquelle le changement a été effectué est tout à fait claire, il ne sera pas annulé, et l'utilisation de plusieurs comptes anonymes aléatoires pour essayer de le faire passer par des fermes de trolls russes ne changera rien.

Et pour information, pour les spectateurs innocents qui ne sont pas des comptes de fermes de trolls, les « diverses exigences de conformité » ne sont pas seulement une affaire américaine.

Si vous n'avez pas encore entendu parler des sanctions russes, vous devriez essayer de lire les nouvelles un jour. Et par « nouvelles », je n'entends pas le spam sponsorisé par l'État russe.

Pour ce qui est de m'envoyer un correctif, je vous prie d'utiliser la bouillie que vous appelez cerveau. Je suis Finlandais. Vous pensiez que je soutiendrais l'agression russe ? Apparemment, il ne s'agit pas seulement d'un manque d'informations réelles, mais aussi d'un manque de connaissances historiques.

Linus

La page Wikiepdia : Attaque de XZ Utils par porte dérobée

Là, c'est une attaque qui a nécessité 3 années d'infiltration (créer une réputation positive à un compte de développeur afin de lui permettre d'être mainteneur), mais probablement, il y a eu plusieurs années pour chercher et trouver la cible idéale pour cette attaque.

Payer un groupe de développeurs expérimentés pendant plusieurs années, ce n'est pas donné.

Le côté positif, c'est que durant 3 ans, ils ont participé activement au projet XZ avec des comit tout à fait intéressant et que la découverte a amené à un durcissement des règles de sécurité.


Bref, c'est très éloigné de Crowdstrike qui est lié à une faute de débutant, lié à une mise à jour envoyée sans validation simultanément vers des millions de PC.
Les deux sont des problèmes graves, mais bien différents.

Ce qui fait peur avec cette attaque c’est surtout le niveau de patience derrière. 3 ans à construire une réputation crédible dans un projet open source pour arriver à ce niveau d’accès, c’est complètement fou. On est très loin du simple malware bricolé par un ado dans son coin