Un chercheur en sécurité a pu enfreindre les systèmes internes de plus de 35 grandes entreprises, dont Apple, Microsoft et PayPal, à l’aide d’une attaque logicielle tout à fait unique.

Pirate Systeme Apple F21

Le chercheur en sécurité Alex Birsan a réussi à exploiter une faille de conception dans certains écosystèmes open source appelée « dependency confusion » pour attaquer des systèmes d’entreprises telles qu’Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla et Uber.

L’attaque impliquait le chargement de logiciels malveillants sur des référentiels open source, notamment PyPI, npm et RubyGems, qui étaient ensuite automatiquement distribués en aval vers les applications internes de l’entreprise. Les entreprises concernées ont automatiquement reçu les packages malveillants, sans avoir à effectuer d’ingénierie sociale ou de chevaux de Troie.

Birsan a pu créer de faux projets en utilisant les mêmes noms sur des référentiels open source, chacun contenant un message d’avertissement, et a constaté que les applications extrayaient automatiquement les packages sans nécessiter aucune action du développeur. Dans certains cas, comme avec les versions PyPI, tout package avec une version supérieure avait la priorité, quel que soit son emplacement. Cela a permis à Birsan d’attaquer avec succès les logiciels de gestion de plusieurs entreprises.

Après avoir vérifié que son membre avait réussi à s’infiltrer dans le réseau de l’entreprise, Birsan a rapporté ses découvertes à l’entreprise en question et certains l’ont récompensé avec des paiements en cash. Microsoft a reconnu sa prime de bug la plus élevée de 40000 $ et a publié un livre blanc sur ce problème de sécurité, tandis qu’Apple affirme que Birsan recevra une récompense via le programme Apple Security Bounty pour avoir divulgué le problème de manière responsable.

Le chercheur a gagné plus de 130 000 $ grâce aux récompenses reconnues par diverses entreprises.

Partager un commentaire