Un chercheur en cybersécurité est parvenu à pirater 35 grosses boîtes dont Apple, Microsoft, Paypal, Tesla et Netflix

Les hackers ne cessent d’innover, ce qui rend les systèmes de sécurité informatique, même les plus performants, de plus en plus vulnérables. Heureusement, du côté du bien, il y a également les chercheurs en cybersécurité qui font tout pour essayer de devancer les pirates.

Justement, l’un d’entre eux, Alex Birsan, a récemment trouvé une faille chez 35 grosses firmes, une vulnérabilité que les hackers auraient pu utiliser à leur avantage. Parmi les entreprises concernées, il y a Apple, Microsoft, Netflix, Shopify et bien d’autres. Notons que ces géants ne se sont même pas rendu compte de cet incident.

Crédits Pixabay

Birsan a notamment exploité une faiblesse insoupçonnée dans la programmation dans le cadre du processus de mise à jour des logiciels. Et après la signalisation de cette faille, les firmes prévenues ont affirmé que la méthode de piratage d’Alex Birsan était belle et bien efficace. Un travail, qui a permis d’éviter un éventuel piratage, et qui a valu une récompense à ce chercheur en cybersécurité.

Une technique improbable, mais particulièrement efficace

Pour le bon fonctionnement de leurs logiciels et applications, chacune de ces entreprises a besoin d’effectuer des mises à jour. Durant le processus, des fichiers bien précis, les paquets spécifiques entre autres, sont indispensables. Et c’est cette dépendance qu’Alex Birsan a exploitée pour son expérience.

Alors que ces 35 grosses boîtes créent les packages nécessaires en interne, Birsan a tenté une approche improbable. Après avoir identifié ces fameux packages, le chercheur en cybersécurité les a contrefaits, en leur attribuant ensuite des noms identiques à ceux des originaux (comme npm, utilisé chez PayPal). Birsan a par la suite mis ces derniers en ligne sur des référentiels open source.

Et à sa grande surprise, cette technique, qu’il a baptisée confusion de dépendance, a marché. En effet, sans le savoir, les serveurs de mise à jour logicielle des géants ont mordu à l’hameçon, ce qui a permis à Alex Birsan de télécharger ses fichiers contrefaits.

Les firmes concernées ont évidemment récompensé le chercheur

Suite à la signalisation de ce bogue de configuration, qui aurait quand même pu entraîner des piratages de grande ampleur, les firmes concernées ont attribué une récompense de 130 000 $ à Alex Birsan.

Cette faille rendait donc les serveurs de ces boîtes particulièrement vulnérables durant les mises à jour. Ceci dit, cette méthode n’est sûrement pas la seule qui permettra à un hacker d’exploiter une faiblesse de la programmation du serveur, selon Birsan. Il est donc crucial de continuer de faire des recherches, afin de toujours devancer les hackers.

Mots-clés cybersécurité