Un chercheur a piraté 35 entreprises, dont Apple, Microsoft et Tesla
Alex Birsan, un chercheur en sécurité, a été en mesure de pirater 35 entreprises, dont Apple, Microsoft, Tesla, Netflix ou encore PayPal. Fort heureusement pour les entreprises, l’œuvre venait d’un chercheur en sécurité et non d’un hacker avec une mauvaise intention.
35 entreprises piratées avec un simple fichier
L’attaque consistait à mettre en ligne des logiciels malveillants avec l’aide de dépôts open source. C’est notamment le cas pour PyPI, npm et RubyGems. Ils étaient ensuite distribués automatiquement aux applications internes des entreprises. Il se trouve que l’attaque ne nécessitait aucune action particulière des entreprises, puisqu’elles recevaient automatiquement les logiciels malveillants.
Le chercheur en sécurité a noté que certaines entreprises (dont PayPal) utilisaient des fichiers qui n’étaient pas présents dans le dépôt public pour npm. Il voulait donc voir si un fichier avec le même nom dans le dépôt public pour npm était prioritaire par rapport à un fichier utilisé exclusivement en interne. Il se trouve que c’était effectivement le cas.
Alex Birsan a donc modifié le fichier pour inclure le logiciel malveillant et l’a mis en ligne avec le même nom sur le dépôt open source. Apple, Microsoft et les autres entreprises ont automatiquement téléchargé le fichier, ce qui a permis au chercheur d’avoir des accès.
Alex Birsan a prévenu les entreprises de ce problème majeur. Il a obtenu 130 000 dollars en récompense. Apple a fait partie des entreprises qui ont participé aux 130 000 dollars.
$130000 c’est ridicule… Si peu…
C’est bon à prendre, mais j’avoue que 130k$ c’est une misère comparé aux milliards qu’auraient pu perdre toutes ces entreprises si la faille avait été exploitée par qqun de malveillant!!
+1