A quoi tiennent parfois les désastres ? Il y a quelques semaines, Andres Freund, un ingénieur chez Microsoft, constate une augmentation d’une demi-seconde du traitement de plusieurs connexions Internet par SSH, un outil permettant leur sécurisation. A ce stade, certains confrères se seraient juste dits : eh bien, dommage. Mais Freund décide fin mars, sur son temps libre, de suivre le lapin blanc. Il s’aperçoit alors, au fond du terrier, qu’une modification de code dans un obscur catalogue de logiciels open source utilisés sur le système d’exploitation Linux pour de la compression de données, appelée X-Utils, est à l’origine du problème. Et qu’elle n’est pas anodine.

L’informaticien découvre une véritable “porte dérobée”. Soit une sorte de faille, volontairement installée, permettant à un potentiel assaillant d’installer des programmes malveillants sur la machine d’un utilisateur, pourquoi pas de détourner des informations. C’est ici que l’affaire devient sérieuse : une large majorité de serveurs à travers le monde, à l’image de ceux abritant les données des multinationales, des organes financiers ou encore des administrations tournent sur Linux et utilisent ses connexions SSH. Ainsi, pour le résumé, quelqu’un était sur le point de mettre en place un outil de cyberespionnage d’une ampleur colossale. Peut-être même, inédite.

L’open source, ressource précieuse mais fragile

C’est aussi ce que disent le New York Times, le Guardian ou encore The Economist, qui ont tour à tour bruyamment relayé l’alerte déclenchée par Andres Freund. Félicité publiquement par son patron, Satya Nadella, l’ingénieur est au passage devenu un demi-dieu chez les développeurs. “Je suis une personne assez discrète qui s’assoit devant son ordinateur et bidouille du code”, s’est-il pourtant humblement décrit auprès du premier média cité. La plupart des experts en cybersécurité s’accordent pourtant à dire que son intervention a été décisive. Le pirate venait, il y a peu, d’implémenter son poison. Il ne manquait plus que les mises à jour des utilisateurs finaux. Lesquels n’ont presque pas eu le temps de la faire, où l’ont vite corrigé via un des applicatifs publiés peu après la découverte de Freund qui, rappelons-le, n’est pas payé pour cette mission spécifique.

Comme des milliers d’autres, il fait partie de ces patrouilleurs numériques, agissant bénévolement pour maintenir à jour – principalement, pour les sécuriser – des logiciels open source, libres de consultation, d’utilisation, et pour les utilisateurs de confiance, de modification. C’est le premier enseignement de cette histoire : ces personnes, rares, sont infiniment précieuses pour l’Internet mondial. Car, ce n’est pas nouveau, ces systèmes open source sont par définition critiques. Leur accessibilité et leur simplicité d’implantation en font des briques technologiques de base de l’Internet mondial depuis vingt à trente ans. Jusqu’à être “victime de leur succès” et souffrir “d’un manque de moyens dédiés à leur maintenance”, remarquait une étude de l’Institut français des relations internationales (Ifri), fin 2022. Soit un an après la découverte d’une vulnérabilité qui avait déjà mis en émoi le monde cyber, involontaire celle-ci, baptisée Log4Shell.

Infiltration

L’Ifri, entre autres instituts sérieux, rappelait d’ailleurs la préoccupation croissante des gouvernements envers “la manipulation des codes par des criminels et des agents étrangers”. Puisque ces derniers peuvent, via ces logiciels, remonter jusqu’à des cibles de manière détournée et quasi-invisible. Mener des redoutables “attaques à la chaîne d’approvisionnement”, comme les appellent les spécialistes. C’est le deuxième enseignement : cette fragilité perdure, et les assaillants sont bien décidés à en profiter. Le scénario noir de X-Utils en est une cruelle illustration.

Et en y mettant les formes. Jia Tan, c’est son pseudo, serait l’auteur de la “porte dérobée” d’après les premières preuves collectées. Cité par Wired, Costin Raiu, chef de l’équipe mondiale de recherche et d’analyse de la société russe de cybersécurité Kaspersky, estime qu’il (ou peut-être même “ils”) agit au nom d’un “groupe soutenu par les Etats-nations”. La Russie, la Chine, l’Iran, suspects habituels dans ce genre d’affaires ? Impossible à dire. Ce constat est en tout cas prononcé en raison du modus operandi particulièrement élaboré de l’attaque.

Tan s’inscrit mi-2021 sur GitHub, le repère de l’open source. Il participe à la bonne marche d’une poignée de projets, avant de se pencher spécifiquement sur X-Utils. Il n’est pas encore clair si c’est en raison de son importance ou plutôt par ce que celui-ci était quelque peu délaissé par son protecteur habituel, un dénommé Lasse Collin, notamment pour des raisons médicales. Toujours est-il que le choix paye. Le hackeur propose des centaines de modifications. Toutes légitimes. Utiles, d’une façon ou d’une autre. Il multiplie les échanges des mails, comme si de rien n’était. Gagne la confiance de tous. En 2023, d’autres contributeurs – vraisemblablement dans le coup – viennent appuyer la prise de pouvoir de Jia Tan. Lequel finit par proposer des mises à jour applicables, début 2024. Près de trois ans après sa première apparition. Une patience et une abnégation qui interpellent. Ce qui mène au troisième et dernier enseignement, le plus inquiétant : il n’est pas impossible que des dizaines de Jia Tan agissent actuellement en coulisses sur d’autres logiciels. Sans, pour le moment, éveiller les soupçons des vigilants Andres Freund.