Un chercheur en sécurité a profité d’un bug au niveau des package de codes open source publics afin de briser la protection des systèmes internes de Microsoft, Apple, Uber ainsi que ceux de Spotify et Tesla. Le pirate a été primé pour cette découverte.

Ceci est appelé un bug Bounty ou bien « la prime bugs », ce qui devient un sport international pour les pirates vertueux. Cela peut rapporter beaucoup, car cette prime peut atteindre la somme de 130 000 dollars, à l’instar de la somme remportée par le chercheur en cybersécurité Alex Birsan. Ce dernier avait exploité une faille au niveau des systèmes internes de 35 grandes entreprises du secteur de la high-tech. Parmi ces entreprises, on trouve quelques géants comme Microsoft, PayPal, Apple, Netflix, Tesla, Yelp ainsi qu’Uber.

Sans nécessiter une quelconque intervention de la victime, comme d’habitude lors des attaques, le white hat a exploité une vulnérabilité commune dans les gestionnaires de paquets de nombreux langages de programmation, tel que npm pour NodeJS, PyPi pour Python ainsi que RubyGems pour Ruby. Ça pourrait également fonctionner avec d’autres langages. Pour la création de leurs logiciels, les géants de la tech utilisent un code open source qui reste stable, déjà éprouvé, leur faisant gagner du temps. Ce type de code est public et reste disponible sur des plateformes comme par exemple GitHub. Les développeurs des entreprises réalisent-en plus de ces packages de codes publics- leurs propres packages privés circulant parfois en dehors empaquetés dans d’autres morceaux de codes.

Le chercheur a donc trouvé ces packages privés sur des plateformes publics et a injecté par la suite son propre code dans l’un des packages publics en reprenant le nom à l’identique. Ce genre d’attaque est appelée « suppy chain », et demande en général de compromettre le poste d’un utilisateur pour dérober ses identifiants ou lui faire installer du code malveillant à son insu. Alex Birsan a donc profité de ce bug majeur qu’il a nommé « confusion de dépendances ». Suite à cette découverte, le chercheur a prévenu toutes les entreprises concernées. La majorité lui ont offert leur prime maximale en cas de découverte de failles. Les entreprises ont fini par trouver une solution de contournement de cette faille structurelle.