La chronique technologique du New York Times a décerné le prix d'excellence en technologie à l'ingénieur Microsoft Andres Freund pour la découverte de la porte dérobée XZ.

Kevin Luce, l'auteur bien connu de la rubrique technologique du New York Times, a récemment annoncé le prix annuel de la technologie exceptionnelle décerné à cette rubrique. Il y a plusieurs lauréats de ce prix technologique, dont Andres Freund, ingénieur en bases de données Microsoft. Andre Freund a remporté le prix parce qu'il a découvert la vulnérabilité de porte dérobée de XZUtils, une bibliothèque open source largement utilisée par l'ensemble de l'industrie technologique, et cette vulnérabilité pourrait avoir de graves conséquences sur la sécurité à l'échelle mondiale.

Étant donné que cette bibliothèque open source est également largement intégrée aux systèmes Linux, les attaquants peuvent utiliser cette vulnérabilité pour lancer des attaques sur d'innombrables serveurs Linux à travers le monde (ils peuvent contourner l'authentification SSH et contrôler directement le serveur), et le processus d'empoisonnement de l'ensemble du projet XZ est également très stimulant.

Le projet XZ était maintenu par un seul responsable principal. Ensuite, un développeur nommé JIATAN a fréquemment participé au projet pendant deux ans et a gagné la confiance du mainteneur principal. Le but ultime de JIATAN était de devenir le mainteneur du projet et d'implanter une porte dérobée.

En fin de compte, l’objectif de JIATAN a été considéré comme réussi. XZ5.6.0~5.6.1 a été implanté avec des vulnérabilités et fusionné dans plusieurs distributions Linux. Grâce à la découverte opportune du problème par Andre Freund, un incident de sécurité à l'échelle mondiale a été évité.

L'industrie n'a pas encore découvert la véritable identité de JIATAN, mais on suppose qu'il vit en Europe de l'Est et tente de se faire passer pour un Chinois pour empoisonnement de la chaîne d'approvisionnement. Je me demande s'il y aura une chance de découvrir la véritable identité de cette personne à l'avenir.

Kevin Blue a déclaré lors de la cérémonie de remise des prix :

Il a rencontré des erreurs étranges lors de la maintenance de routine d'un progiciel open source peu connu, XZUtils. Au cours de son enquête, il a accidentellement découvert une énorme faille de sécurité dans le système d’exploitation Linux, qui pourrait permettre aux pirates de contrôler des centaines de millions d’ordinateurs et de paralyser le monde.

Il s’avère qu’une grande partie de notre infrastructure numérique repose sur des actes similaires d’héroïsme ringard (Blue Dot Note : sic). Après avoir écrit sur les découvertes de Freund, j'ai reçu des conseils sur d'autres désastres impliquant des projets de logiciels open source, dont beaucoup étaient dus à des bénévoles aux yeux d'aigle qui avaient découvert des bogues et corrigé du code critique à temps pour contrecarrer les méchants.

Je ne peux pas tous les nommer, mais ce prix dit : je vous vois, responsables de l'open source, et j'apprécie votre service.