Ces trois dernières années, un internaute a participé activement à un projet open source. Or, sa contribution aurait pu mettre en péril Internet dans son ensemble. Pour un expert en cybersécurité, il se pourrait que le hacker fasse partie d’une équipe dirigée par un État nation.
Une faille importante découverte par hasard qui aurait pu nuire à Internet
Les affaires de cybersécurité sont légion et certaines sortent du lot au point de faire la une des journaux. Le 3 avril 2024, le magazine Wired racontait par exemple l’histoire d’un mystérieux internaute aujourd’hui activement recherché. Son crime ? Il travaillait à la création d’une « porte dérobée » sur un projet open source très populaire utilisé aux quatre coins du monde.
Tout commence en 2021 lorsqu’un utilisateur dont le pseudonyme est Jia Cheong Tan commence à participer au projet open source XZ Utils, un outil de compression très populaire sur Linux. En trois années, il effectue environ 6 000 modifications du code source. Alors que de nombreux contributeurs participent au développement du projet de manière tout à fait honnête, Jia Cheong Tan a visiblement d’autres intentions. Effectivement, l’individu tente d’intégrer au code une porte dérobée dont le but est de permettre à des personnes malveillantes disposant de la bonne clé d’accéder à des millions de sites Internet.
Le pot aux roses a été découvert par hasard grâce à Andres Freund, un ingénieur chez Microsoft. Ce dernier avait observé une longueur inhabituelle du protocole de connexion à distance d’une variante de Linux Debian. En poursuivant son enquête, l’ingénieur découvre finalement l’importante faille de sécurité.
Un responsable activement recherché
Depuis cette découverte, la véritable identité de Jia Cheong Tan intéresse grandement plusieurs acteurs dans le domaine de la cybersécurité. Interrogé pour l’occasion, Costin Raiu, qui travaille pour la société russe de cybersécurité Kaspersky, pense que le malfaiteur œuvre peut-être pour le compte d’un État. Il faut dire qu’une telle entité pourrait avoir des objectifs à long terme et surtout les moyens d’invertir sur plusieurs années dans l’infiltration de différents projets open source. Parmi les pays suspectés, nous retrouvons sans grande surprise la Chine, la Corée du Nord ainsi que la Russie.
Il a également précisé qu’il s’agissait ici de la plus astucieuse attaque contre la chaîne d’approvisionnement en logiciels qui lui ait été donné de voir. Par ailleurs, Jia Cheong Tan s’était montré assez discret en dehors des messages échangés avec la communauté open source et a utilisé un VPN ainsi qu’une adresse IP à Singapour. Enfin, les experts n’excluent pas que plusieurs personnes aient pu agir sous le même pseudonyme.
