AccueilActualités informatiqueLes attaquants peuvent créer un cheval de Troie à partir d'un code...

Les attaquants peuvent créer un cheval de Troie à partir d’un code source qui semble toujours légitime.

Avec une certaine tactique, les attaquants pourraient théoriquement équiper n’importe quel code source de fonctions malveillantes sans qu’un examen du code par les chercheurs en sécurité ne révèle quoi que ce soit d’inhabituel. Si le code source est ensuite compilé et exécuté, les attaquants pourraient, par exemple, utiliser des portes dérobées pour infiltrer les ordinateurs. Pratiquement tous les langages de programmation sont concernés par ce phénomène.

Sommaire

Des chercheurs en sécurité de l’université de Cambridge et de l’université d’Édimbourg mettent en garde contre ce phénomène dans le rapport détaillé « Trojan Source Invisible Vulnerabilities ». Le cœur du problème est la norme Unicode en relation avec l’algorithme Bidi. Unicode représente les caractères et les éléments de texte de toutes les cultures d’écriture et de tous les systèmes de caractères connus. La fonction Bidi override permet d’afficher correctement des langues telles que l’allemand (lu de gauche à droite) et l’arabe (lu de droite à gauche).

C’est exactement là qu’un attaquant pourrait commencer et réorganiser malicieusement certains groupes de caractères, par exemple dans les sections commentées. L’utilisation de caractères similaires ou d’apparence identique (homoglyphe) pour la manipulation de codes est également envisageable.

S’il est bien fait, le code source semble inoffensif pour un observateur humain. Toutefois, lorsqu’il est compilé pour fonctionner malgré la manipulation, le résultat final est un programme doté de fonctions malveillantes. Jusqu’à présent, aucun niveau de menace n’a été attribué à ces vulnérabilités (CVE-2021-42574, CVE-2021-42694).

Si cela arrive à des logiciels libres largement utilisés, qui servent à leur tour de base à d’autres logiciels, les conséquences pourraient être considérables. Les développeurs diffusaient sans le savoir les fonctions malveillantes dans les forks de logiciels par copier-coller. C’est particulièrement délicat pour les projets à grande échelle comme Linux, où n’importe qui peut soumettre du code.

Les chercheurs en sécurité affirment ne pas avoir documenté d’attaques de ce type jusqu’à présent. Ils affirment avoir retenu la publication des détails des attaques pendant 99 jours afin que les développeurs puissent fournir des mises à jour de sécurité pour leurs langages de programmation.

La vague de correctifs a déjà commencé et, par exemple, le langage de programmation Rust est désormais protégé contre les attaques par des sources troyennes dans la version 1.56.1, selon un rapport. Les chercheurs en sécurité s’attendent à ce que les plateformes telles que Github réagissent rapidement et reconnaissent le code dans les langages de programmation sans protection subsidiaire et émettent des avertissements.

Plus d'articles