Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 words
ÔLe Vendredi saint, un ingénieur Microsoft nommé Andres Freund a remarqué quelque chose de particulier. Il utilisait un outil logiciel appelé SSH pour se connecter en toute sécurité à des ordinateurs distants sur Internet, mais les interactions avec les machines distantes étaient nettement plus lentes que d’habitude. Il a donc creusé et trouvé du code malveillant intégré dans un progiciel appelé XZ Utils qui s’exécutait sur sa machine. Il s’agit d’un utilitaire essentiel pour compresser (et décompresser) les données exécutées sur le système d’exploitation Linux, le système d’exploitation qui alimente la grande majorité des serveurs Internet accessibles au public dans le monde. Ce qui signifie que chacune de ces machines exécute XZ Utils.
Les fouilles de Freund ont révélé que le code malveillant était arrivé sur sa machine via deux mises à jour récentes de XZ Utils, et il a alerté la liste de sécurité Open Source pour révéler que ces mises à jour étaient le résultat de l’implantation intentionnelle d’une porte dérobée dans le logiciel de compression. Il s’agissait de ce qu’on appelle une « attaque de la chaîne d’approvisionnement » (comme celle catastrophique de SolarWinds en 2020) – où des logiciels malveillants ne sont pas directement injectés dans les machines ciblées, mais distribués en infectant les mises à jour logicielles régulières auxquelles tous les utilisateurs d’ordinateurs sont habitués avec lassitude. Si vous souhaitez diffuser des logiciels malveillants, infecter la chaîne d’approvisionnement est la manière intelligente de le faire.
Alors, quel était le but du malware découvert par Freund ? Fondamentalement, pour briser le processus d’authentification qui sécurise SSH et créer ainsi une porte dérobée qui permettrait à un intrus d’accéder à distance à l’ensemble du système sans autorisation. Puisque SSH est un outil vital pour le fonctionnement sûr d’un monde en réseau, tout ce qui le compromet est une très mauvaise nouvelle. C’est pourquoi le monde de la cybersécurité a été en état d’alerte la semaine dernière. Ceux qui utilisent les différentes versions de Linux utilisées dans le monde ont été alertés des dangers posés par les deux mises à jour malveillantes.
La porte de l’écurie était donc verrouillée et, espérons-le, aucun cheval ne manquait. Cependant, rien de tout cela n’aurait été vrai si Freund n’avait pas été aussi curieux et aux yeux de faucon. « Le monde doit à Andres de la bière gratuite et illimitée », a observé un expert en sécurité. « Il a juste sauvé la mise à tout le monde pendant son temps libre. »
D’une certaine manière, l’histoire de la façon dont le malware est entré dans les mises à jour est encore plus instructive. XZ Utils est un logiciel open source, c’est-à-dire un logiciel dont le code source peut être inspecté, modifié et amélioré par n’importe qui. Une grande partie de l’open source est écrite et maintenue par de petites équipes de programmeurs, et dans de nombreux cas par une seule personne. Chez XZ Utils, cette personne est depuis des années Lasse Collin, qui participe au projet depuis sa création. Jusqu’à récemment, c’était lui qui assemblait et distribuait les mises à jour du logiciel.
Mais il semble que ces dernières années, la maintenance d’un logiciel aussi clé soit devenue plus onéreuse, et il aurait également eu des problèmes de santé. (Nous n’en sommes pas sûrs car il a décidé il y a quelque temps de prendre un congé sabbatique du monde en ligne.) Mais selon l’expert en sécurité Michał Zalewski, il y a environ deux ans, un développeur « sans aucune empreinte en ligne préalable » et se faisant appeler Jia Tan est apparu à l’improviste et a commencé à apporter des contributions utiles à la bibliothèque XZ Utils. « Peu de temps après l’arrivée de « Jia », poursuit Zalewski, plusieurs récits apparemment fantoches sont apparus et ont commencé à faire pression sur Lasse pour qu’il passe le relais ; il semble qu’il ait cédé à un moment donné en 2023. » Et il semble que les deux mises à jour infectées par des logiciels malveillants aient été publiées par ce personnage Jia.
Alors maintenant, l’intrigue s’épaissit. Les experts en cybersécurité prennent clairement cette attaque au sérieux. « La porte dérobée est très particulière dans la manière dont elle est mise en œuvre, mais elle est vraiment intelligente et très furtive », a déclaré un gourou sud-africain bien connu de la sécurité. Économiste. Plus intéressant encore est l’existence d’une campagne en ligne concertée visant à persuader Lasse Collin de céder le contrôle de XZ Utils à « Jia Tan ». Ce gourou soupçonne que le SVR, le service de renseignement étranger russe à l’origine de la pénétration de SolarWinds dans les réseaux du gouvernement américain, pourrait même avoir joué un rôle dans l’attaque.
Qui sait? Mais deux leçons claires peuvent être tirées de ce que nous savons jusqu’à présent. La première est que nous avons construit un tout nouveau monde à partir d’une technologie intrinsèquement et fondamentalement peu sûre. La seconde est que nous dépendons essentiellement des logiciels open source qui sont souvent maintenus par des bénévoles qui le font par amour plutôt que par argent – et généralement sans le soutien de l’industrie ou du gouvernement. Nous ne pouvons pas continuer ainsi, mais nous le ferons. Ceux que les dieux souhaitent détruire, ils les rendent d’abord complaisants.
Ce que j’ai lu
Comment to-talitaire
Comment Trump a-t-il pu réellement transformer les États-Unis en un État fasciste ? Robert Reich présente le plan en cinq étapes de Trump sur son Substack.
Les conséquences du gouvernement conservateur
Qu’ont fait 14 ans de règne conservateur à la Grande-Bretagne ? Vous connaissez la réponse, mais Sam Knight donne des détails utiles dans un New yorkais essai.
Notre planète inestimable
Pourquoi le capitalisme ne peut pas résoudre la crise climatique – explique le professeur Brett Christophers dans Temps revue.