Les hackers ne cessent d’innover, ce qui rend les systèmes de sécurité informatique, même les plus performants, de plus en plus vulnérables. Heureusement, du côté du bien, il y a également les chercheurs en cybersécurité qui font tout pour essayer de devancer les pirates.
Justement, l’un d’entre eux, Alex Birsan, a récemment trouvé une faille chez 35 grosses firmes, une vulnérabilité que les hackers auraient pu utiliser à leur avantage. Parmi les entreprises concernées, il y a Apple, Microsoft, Netflix, Shopify et bien d’autres. Notons que ces géants ne se sont même pas rendu compte de cet incident.
Birsan a notamment exploité une faiblesse insoupçonnée dans la programmation dans le cadre du processus de mise à jour des logiciels. Et après la signalisation de cette faille, les firmes prévenues ont affirmé que la méthode de piratage d’Alex Birsan était belle et bien efficace. Un travail, qui a permis d’éviter un éventuel piratage, et qui a valu une récompense à ce chercheur en cybersécurité.
Une technique improbable, mais particulièrement efficace
Pour le bon fonctionnement de leurs logiciels et applications, chacune de ces entreprises a besoin d’effectuer des mises à jour. Durant le processus, des fichiers bien précis, les paquets spécifiques entre autres, sont indispensables. Et c’est cette dépendance qu’Alex Birsan a exploitée pour son expérience.
Alors que ces 35 grosses boîtes créent les packages nécessaires en interne, Birsan a tenté une approche improbable. Après avoir identifié ces fameux packages, le chercheur en cybersécurité les a contrefaits, en leur attribuant ensuite des noms identiques à ceux des originaux (comme npm, utilisé chez PayPal). Birsan a par la suite mis ces derniers en ligne sur des référentiels open source.
Et à sa grande surprise, cette technique, qu’il a baptisée confusion de dépendance, a marché. En effet, sans le savoir, les serveurs de mise à jour logicielle des géants ont mordu à l’hameçon, ce qui a permis à Alex Birsan de télécharger ses fichiers contrefaits.
Les firmes concernées ont évidemment récompensé le chercheur
Suite à la signalisation de ce bogue de configuration, qui aurait quand même pu entraîner des piratages de grande ampleur, les firmes concernées ont attribué une récompense de 130 000 $ à Alex Birsan.
Cette faille rendait donc les serveurs de ces boîtes particulièrement vulnérables durant les mises à jour. Ceci dit, cette méthode n’est sûrement pas la seule qui permettra à un hacker d’exploiter une faiblesse de la programmation du serveur, selon Birsan. Il est donc crucial de continuer de faire des recherches, afin de toujours devancer les hackers.