histats

Un piratage chinois récent est un signal d’alarme pour la sécurité de la chaîne d’approvisionnement mondiale en logiciels – The Diplomat

Un piratage chinois récent est un signal d’alarme pour la sécurité de la chaîne d’approvisionnement mondiale en logiciels – The Diplomat

Personne ne le sait, pas même les fantômes (人不知,鬼不觉)
– expression chinoise

Ce n’est peut-être qu’une coïncidence s’il existe un célèbre dicton chinois qui résume parfaitement un récent piratage de MiMi, une application de messagerie chinoise. Selon des rapports récents, un groupe de pirates informatiques soutenu par l’État chinois a injecté du code malveillant dans cette application de messagerie, réalisant essentiellement l’équivalent du piratage infâme de SolarWinds. Les utilisateurs de MiMi ont reçu une version de l’application avec un code malveillant ajouté, grâce à des attaquants qui ont pris le contrôle des serveurs qui servaient l’application. En bref, il s’agissait d’une attaque de la chaîne d’approvisionnement logicielle où le pipeline de livraison de logiciels était compromis.

Et personne ne l’a su pendant des mois.

Ce piratage n’a pas reçu beaucoup de presse dans les médias occidentaux, peut-être parce qu’il semble être un exemple de surveillance par le gouvernement chinois de cibles qui ne se trouvent pas aux États-Unis ou en Europe. C’est dommage car cette attaque indique une tendance croissante aux attaques de la chaîne d’approvisionnement des logiciels, même de la part du gouvernement chinois. Par conséquent, les entreprises et les gouvernements occidentaux devraient en prendre note et commencer à préparer leurs défenses.

Certes, tous les détails ne sont pas connus (ou ne le seront jamais), mais l’analyse du code médico-légal indique qu’un certain groupe de hackers parrainé par l’État chinois (parfois appelé Lucky Mouse ou Iron Tiger) a probablement pris le contrôle des serveurs qui permettaient aux utilisateurs de télécharger MiMi Chat chinois- l’application, qui s’adresse aux utilisateurs de langue chinoise. Les pirates ont ensuite remplacé le logiciel d’origine par une version malveillante et ajouté du code à l’application qui a téléchargé et installé des logiciels malveillants.

See also  Uber attribue le piratage à Lapsus$ et coopère avec le FBI et le DOJ sur l'enquête

Aimez-vous cet article? Cliquez ici pour vous inscrire pour un accès complet. Seulement 5 $ par mois.

À l’époque, le logiciel malveillant, inconnu de l’utilisateur, permettait aux attaquants de surveiller et de contrôler à distance le logiciel. Cela semble s’être produit à la fin de 2021 et jusqu’à l’été 2022. Fait intéressant, ni l’application légitime ni le logiciel malveillant n’ont été signés numériquement, laissant les utilisateurs sans aucun moyen de savoir que ce logiciel était malveillant.

Les observateurs pourraient être pardonnés de penser que ce n’est qu’un autre hack. Les groupes de hackers chinois, mais aussi ceux des pays occidentaux, ont développé une réputation au cours des deux dernières décennies pour l’espionnage, la surveillance et le sabotage. Mais cette attaque est différente du tarif de piratage habituel car les attaquants se sont heurtés à l’arrière d’un logiciel de confiance. Il s’agit d’une attaque de la chaîne d’approvisionnement logicielle, où les attaquants altèrent soit le code source, le système de construction de logiciels ou le pipeline de publication de logiciels, qui sont tous devenus essentiels au fonctionnement de l’économie numérique mondiale.

Selon nos propres estimations, les attaques dans la chaîne d’approvisionnement des logiciels ont augmenté rapidement en fréquence. Il y a vingt ans, c’était peut-être un ou deux par an. De nos jours, selon la méthodologie, il y en a des centaines ou des milliers par an, en ne comptant que les attaques signalées. Et de plus en plus, quiconque s’appuie sur des logiciels (lire : tout le monde) est ou sera bientôt une victime : le gouvernement américain, Microsoft, des milliers d’autres entreprises et, apparemment dans cette attaque MiMi, des particuliers.

See also  Quelles sont les 10 meilleures applications éducatives qui collectent le plus de données utilisateur Android ?

Si ces attaques de la chaîne d’approvisionnement logicielle ne proviennent que de gangs criminels, les dirigeants mondiaux pourraient peut-être mieux dormir la nuit. Mais le fait qu’un groupe de pirates informatiques soutenu par l’État chinois mène des attaques sur la chaîne d’approvisionnement des logiciels signifie que les dirigeants avisés doivent considérer cette tendance comme faisant partie de l’art de gouverner et pas seulement de la cybercriminalité. Cette tendance menace la libre circulation du commerce numérique à travers les frontières nationales et promet d’augmenter le coût d’acquisition des logiciels, les acheteurs scrutant de plus en plus les achats auprès de vendeurs “non fiables”.

Heureusement, la chaîne mondiale d’approvisionnement en logiciels n’a pas à être prise en otage par des attaquants. Des méthodes existent pour assurer l’intégrité de la chaîne d’approvisionnement logicielle, mais elles ne sont pas encore généralisées, laissant un vide aux attaquants.

Peut-être plus directement, les signatures numériques sur les logiciels peuvent grandement contribuer à restaurer la confiance dans la chaîne d’approvisionnement des logiciels. L’application MiMi habituelle n’était pas signée ; la version malveillante l’était aussi. Par conséquent, les utilisateurs n’avaient aucun moyen de vérifier que ce logiciel n’avait pas été altéré quelque part en transit. Le projet Sigstore vise à changer cela en offrant aux développeurs et aux utilisateurs de logiciels un moyen convivial de signer des logiciels et de vérifier que leur logiciel n’a pas été altéré.

D’autres approches telles que TUF, The Update Framework, peuvent également aider les systèmes de mise à jour logicielle à éviter les compromis. De cette façon, l’utilisateur typique du logiciel peut continuer à compter sur les mises à jour diffusées en continu sur Internet vers ses appareils connectés.

See also  6 unusual tricks that will make your iPhone more secure and private

De nos jours, lorsqu’une attaque de la chaîne d’approvisionnement logicielle se produit, en particulier lorsque de bonnes applications sont détournées et transformées en vecteurs de logiciels malveillants, il est juste de dire que personne ne le sait, pas même les fantômes. Mais le logiciel du monde n’a pas à être comme ça. Les défenses telles que les signatures numériques peuvent aider à garantir l’intégrité de la chaîne d’approvisionnement des logiciels. De cette façon, à l’avenir, si MiMi ou toute autre application devait être piratée, tout le monde le saurait, et le seul mystère est de savoir pourquoi la communauté a jamais laissé faire autrement.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *