Attaque à la chaîne d'approvisionnement du logiciel libre : l'incident de la porte dérobée xz
En mars 2024, une porte dérobée a été découverte dans xz, un logiciel de compression largement utilisé. Un mainteneur malveillant, utilisant le pseudonyme de Jia Tan, a secrètement inséré cette porte dérobée pendant trois ans. La porte dérobée permettait l’exécution de code à distance sur les machines disposant de ssh installé. Sa découverte a été accidentelle, par un développeur Postgres qui enquêtait sur des problèmes de performances non liés. Cet article détaille le fonctionnement de la porte dérobée et propose d’utiliser la reproductibilité de la build pour la détection. La porte dérobée impliquait la modification du processus de build de xz pour injecter un fichier objet malveillant et exploiter le mécanisme ifunc de glibc pour accrocher la fonction RSA_public_decrypt de ssh. L’auteur préconise de construire le logiciel à partir de sources fiables et d’utiliser la reproductibilité de la build pour améliorer la sécurité de la chaîne d’approvisionnement logicielle, comme comparer les versions de GitHub avec les fichiers tarball fournis par le mainteneur et vérifier la cohérence binaire entre les sources de build.