Lien Une porte dérobée dans les cartes NFC
XZ et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois
Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.
L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.
Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.
La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.
Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.
Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.
NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.
Journal Xz (liblzma) compromis
Bonjour à tous,
La nouvelle que le projet xz (et en particulier liblzma) a été compromis vient de tomber. Donc avant de lire la suite, commencez par vous assurer que vous n'ayez aucune installation de xz version 5.6.0 ou 5.6.1 installée sur vos systèmes pour corriger cette porte dérobée, particulièrement si vous êtes avec un debian ou dérivée. Debian a une version corrigée "5.6.1+really5.4.5-1", Arch Linux une version 5.6.1-2.
Tous les détails de la faille de sécurité sont donnés là (…)
Lien Backdoor in upstream xz/liblzma leading to ssh server compromise
Journal Lettre ouverte au gouvernement anglais par les fournisseurs de messageries et chat cryptés
La lettre est courte et implacable Open Letter to the British Government Regarding the Online Safety Bill parue le 13 avril 2023. Ne sachant pas si j'ai le droit de publier une traduction, je me contente de citer quelques morceaux :
L'intro est irrésistible
En plus de la loi de l'Union Européenne dite «chat control», un autre projet de loi européenne utilise la protection de l'enfance comme prétexte à une surveillance généralisée des communications par chat, probablement sans raison (…)
Lien Millions of PC Motherboards Were Sold With a Firmware Backdoor
Lien Backdoor invisible à la revue de code avec les caractères spéciaux d'unicode
Lien RotaJakiro : un logiciel malveillant se fait passer pour un processus systemd depuis 3 ans
Lien Les alternatives aux backdoors (Matrix.org)
Journal Une backdoor vient d’être trouvée dans un paquet npm connu
Event-stream est une bibliothèque JavaScript développée par Dominic Tarr. C’est une personne connue dans le monde JS. Il a, par exemple, beaucoup contribué aux streams de Node.js. Le monsieur écrit beaucoup de code et, forcément, il n’a pas le temps de maintenir tout ce qu’il écrit. Il a passé la main à un autre développeur pour la maintenance de cette bibliothèque. Et peu de temps après, ce nouveau développeur a mis à jour les dépendances d’Event-Stream, ce qui a (…)
Lien Vol de clefs (ajouté par des «attaquants» ?) dans le module Pipy "ssh-decorator" 0.28 à 0.31
Journal WhatsApp, sa porte discrète du fond et les backdoors de Signal
Nous le savons tous WhatsApp n'a pas de backdoor, c'est d’ailleurs pour ça que son code source n'est pas public : ya rien à voir, tchatez.
Une très bonne explication est publiée sur le site de Reflet :
Il suffit à WhatsApp d’ajouter un nouvel appareil virtuel au compte de Bob, cet appareil recevra ainsi les messages qui lui sont destinés
De manière générale c’est le problèmes des systèmes où le lien entre personne physique et clef de chiffrement (…)
Revue de presse de l'April pour la semaine 24 de l'année 2016
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire
- [Developpez.com] Jerry Do-It-Together une solution ingénieuse pour reprendre la main sur la technologie
- [@Sekurigi] La culture des hackers dans le monde de la politique
- [01net.] Intel embarque-t-il une porte dérobée dans toutes ses puces?
- [ouest-france.fr] Une école du logiciel libre à Nantes
- [L'OBS] Furieux de l’arrivée du «méchant Microsoft», ils fuient LinkedIn
- [ZDNet] Des données libérées pour plus de citoyenneté?
- [Next INpact] Mozilla crée le fonds «SOS» pour renforcer la sécurité de l'open source