Auteur Sujet: Attaque XZ visant OpenSSH: L'attaque informatique la plus sophistiquée de l'Histoire (Lu 4119 fois)

xp25 · « **le:** 28 novembre 2024 à 20:27:54 »

Hors-sujet extrait de Crowdstrike, l'écran tout bleu du 19 juillet écarlate.

Citation de: trekker92 le 28 novembre 2024 à 18:54:00

le reportage d'arte est plutot pas mal.. et montre énormément que les gens "apprécient" ou acceptent sans broncher la dépendance à windows.
crowdstrike aura été suffisamment "contenu" pour ne pas leur faire changer le fusil d'épaule.

Comment ton linux a failli se faire poutrer en long large et travers et a échapper à la mort :

vivien · « **Réponse #1 le:** 28 novembre 2024 à 23:05:04 »

Je préfère la vidéo de Micode sur le même sujet.

cocadmin ne précise pas :
- Que la découverte de la faille (par hasard) a été réalisée par un développeur allemand de Microsoft bien compétent travaillant sous Debian SID : Andres Freund (on peut quand même remercier Microsoft pour sa plus importante contribution à Linux).
- Que c'est une attaque étatique vu les moyens mis en place avec un cout qui dépasse le million de $ (l'origine la plus probable est la Russie, Israël est également évoqué d'après les études sur les quelques fois où son heure n'a pas été changée). C'est juste rapidement expliqué à la fin de la vidéo de cocadmin.
- L'attaque était particulièrement bien faite, avec une attention particulière pour passer sous les radars.
- Les plaintes sur la lenteur du mainteneur évoqué par plusieurs développeurs étaient probablement des comptes liés à l'attaque étatique, pour faire pression pour que le pirate devienne co-mainteneur.

Code: [Sélectionner]

https://www.youtube.com/watch?v=WQBLPYToLME
La faille n'a jamais été déployée sur les versions stables de Linux, mais l'impact a été très important, avec beaucoup de travail pour que cela ne puisse pas se reproduire. Ubuntu a retardé la bêta d'Ubuntu 24.04 pour faire des vérifications supplémentaires. C'est clairement ce qui a motivé à exclure tous les mainteneurs russes du noyau il y a quelques semaines.

Linus Torvalds :

Ok, il y a beaucoup de trolls russes dans la nature.

La raison pour laquelle le changement a été effectué est tout à fait claire, il ne sera pas annulé, et l'utilisation de plusieurs comptes anonymes aléatoires pour essayer de le faire passer par des fermes de trolls russes ne changera rien.

Et pour information, pour les spectateurs innocents qui ne sont pas des comptes de fermes de trolls, les « diverses exigences de conformité » ne sont pas seulement une affaire américaine.

Si vous n'avez pas encore entendu parler des sanctions russes, vous devriez essayer de lire les nouvelles un jour. Et par « nouvelles », je n'entends pas le spam sponsorisé par l'État russe.

Pour ce qui est de m'envoyer un correctif, je vous prie d'utiliser la bouillie que vous appelez cerveau. Je suis Finlandais. Vous pensiez que je soutiendrais l'agression russe ? Apparemment, il ne s'agit pas seulement d'un manque d'informations réelles, mais aussi d'un manque de connaissances historiques.

Linus

La page Wikiepdia : Attaque de XZ Utils par porte dérobée

basilix · « **Réponse #2 le:** 29 novembre 2024 à 09:20:02 »

Qu'est-ce qui différencie une opération réalisée par un « cracker hors-pair » d'une autre menée par une organisation ?

Je me pose plusieurs questions sur ce qui est avancé dans les vidéos.

Des millisecondes en plus, lors de l'exécution d'un processus, c'est flagrant à ce qui paraît (ralentissement probable).
C'est ce que j'ai lu dans « Modern Operating Systems, 4éd. de Tanenbaum & Al. » dans lequel on insiste bien sur le
coût d'une opération E/S (accès au disque dur). On optimise en nanosecondes lors de la conception des systèmes
(machine + système d'exploitation). (note : en fait, on obtient une précision de l'ordre d'une milliseconde sur ma
machine avec un noyau Linux standard mais seulement pour déclencher un temporisateur dans un programme C.
Les nanosecondes apparaissent dans une structure itimerspec pour standardiser l'interface et prévoir large en cas
d'amélioration future des performances).

vivien · « **Réponse #3 le:** 29 novembre 2024 à 09:32:21 »

Là, c'est une attaque qui a nécessité 3 années d'infiltration (créer une réputation positive à un compte de développeur afin de lui permettre d'être mainteneur), mais probablement, il y a eu plusieurs années pour chercher et trouver la cible idéale pour cette attaque.

Payer un groupe de développeurs expérimentés pendant plusieurs années, ce n'est pas donné.

Le côté positif, c'est que durant 3 ans, ils ont participé activement au projet XZ avec des comit tout à fait intéressant et que la découverte a amené à un durcissement des règles de sécurité.

Bref, c'est très éloigné de Crowdstrike qui est lié à une faute de débutant, lié à une mise à jour envoyée sans validation simultanément vers des millions de PC.
Les deux sont des problèmes graves, mais bien différents.

vivien · « **Réponse #4 le:** 15 mai 2026 à 10:30:11 »

Désolé, je réouvre ce sujet, avec une vidéo de présentation de la faille XZ par Olivier Poncet .

Elle est plus complète (et bien plus technique) que les précédentes vidéos.

Un point étonnant, c'est qu'il parle de mise à jour poussée sans VPN, alors que pour moi, il y avait bien le VPN, mais il n'avait pas changé le fuseau horaire de sa machine, ce qui permet de découvrir qu'il n'est pas asiatique, mais de l'Europe de l'Est (ici, il attribue l'attaque à la Russie).

cmoo · « **Réponse #5 le:** 15 mai 2026 à 19:15:36 »

Ce qui fait peur avec cette attaque c’est surtout le niveau de patience derrière. 3 ans à construire une réputation crédible dans un projet open source pour arriver à ce niveau d’accès, c’est complètement fou. On est très loin du simple malware bricolé par un ado dans son coin

alf084 · « **Réponse #6 le:** 16 mai 2026 à 13:04:31 »

Citation de: vivien le 15 mai 2026 à 10:30:11

Désolé, je réouvre ce sujet, avec une vidéo de présentation de la faille XZ par Olivier Poncet .

Elle est plus complète (et bien plus technique) que les précédentes vidéos.

Un point étonnant, c'est qu'il parle de mise à jour poussée sans VPN, alors que pour moi, il y avait bien le VPN, mais il n'avait pas changé le fuseau horaire de sa machine, ce qui permet de découvrir qu'il n'est pas asiatique, mais de l'Europe de l'Est (ici, il attribue l'attaque à la Russie).

Une attaque étatique aussi brillante, qui dure depuis des années et nécessite un budget colossal, et "oh, mince !"
l'opérateur aurait soit oublié d'activer son VPN, soit omis de changer l'heure de sa machine ?

J'ai du mal à croire que ce genre d'opération se déroule sans checklists, sans filets de sécurité, ni même sans machines dédiées à cette tâche.

À moins, bien sûr, que cette « erreur » ne fasse partie intégrante du projet.

Les acteurs derrière tout cela ont forcément prévu en amont de laisser des indices discrets mais exploitables en analyse forensique, afin d'orienter les enquêteurs dans une direction précise au cas où l'opération viendrait à échouer.

Le fait qu'on attribue systématiquement ces actes à la Russie, à la Chine ou à la Corée du Nord me fait doucement sourire, comme si les autres nations restaient les bras croisés.

À moins que... Bref, personnellement, je ne tiens jamais compte des attributions.

rooot · « **Réponse #7 le:** **Aujourd'hui** à 14:39:32 »

Citation de: cmoo le 15 mai 2026 à 19:15:36

Ce qui fait peur avec cette attaque c’est surtout le niveau de patience derrière. 3 ans à construire une réputation crédible dans un projet open source pour arriver à ce niveau d’accès, c’est complètement fou. On est très loin du simple malware bricolé par un ado dans son coin

rien ne dit que la personne a crée le compte dans le but de faire une attaque. on peut imaginer plusieurs scenarii:
la personne a créer le compte et a participé en toute bonne fois et :
- un jour et avec le temps il/elle se fait embaucher dans des services secrets et hop il utilise son compte pour faire l'attaque.
- un jour il est identifié par son pays, les gars déboulent chez lui et lui proposent le goulag ou de bosser pour son pays en faisant ce qu'ils lui demandent.

ces 2 scenarii me semblent plus probables et réalistes. arriver a identifier une personne de son pays qui participe a un projet qu'on veut cibler, et le convaincre de grès ou de force a faire ce qu'on lui demande, ou encore plus simple lui prendre son compte et mettre une autre personne derrière.

vivien · « **Réponse #8 le:** **Aujourd'hui** à 14:59:07 »

Sauf que dès le début la personne en cause a fait en sorte de faire croire qu'il était basé en Asie alors qu'il ne l'est pas. Il a protégé son identité de façon à rendre impossible de remonter à son identité.

Il y a donc peu de chance que son pays ait pu l'identifier vu qu'il ne laisse aucune information sur son pays d'origine et qu'il tente de se faire passer pour d'origine asiatique au vu de la configuration du fuseau horaire de son PC, du VPN utilisé et de son pseudo. L'origine asiatique est exclue par plusieurs analyses sur ses contributions les jours fériés asiatiques.

Les données, les 3 fois où il a oublié de changer son fuseau horaire avant de poster, semble orienter vers la Russie ou Israël.

Suite à cette attaque, Le projet Linux a retiré les contributeurs russes de la liste officielle des maintainers du noyau (cela a été fait lors de la publication du noyau Linux 6.12-rc4 le 20 octobre 2024). Les développeurs concernés n'étaient pourtant pas des contributeurs marginaux. Ils supervisaient la maintenance de pilotes matériels importants, pour des équipements de marques comme Acer ou Cirrus Logic. Leur éviction soudaine, sans concertation apparente avec la communauté, a donc suscité incompréhension et critiques de la part de nombreux participants au projet. Linus Torvalds est intervenu pour dire que cette décision est directement liée aux sanctions internationales contre la Russie à la suite de la guerre en Ukraine, mais pour moi je pense que la vraie raison est l'attaque XZ.