En 2024, le monde a frôlé une catastrophe numérique d’une ampleur sans précédent. Pendant des années, un pirate informatique a patiemment tissé sa toile pour infiltrer le système d’exploitation le plus critique de la planète. Si ce plan avait abouti, des millions de serveurs à travers le monde auraient été exposés, offrant à ce mystérieux attaquant les clés de l’internet. De l’espionnage industriel à la paralysie d’infrastructures d’États entiers, les conséquences auraient été incalculables. Voici comment une simple faille humaine a failli faire basculer le monde numérique.
La naissance d’un écosystème libre et vulnérable
Pour comprendre comment une telle vulnérabilité a pu voir le jour, il faut remonter aux origines de l’informatique moderne. Dans les années 1980, face à la privatisation croissante des codes sources par des entreprises comme AT&T, le chercheur Richard Stallman fonde la Free Software Foundation. Son objectif : garantir que les logiciels restent libres d’être étudiés, modifiés et partagés. Ce mouvement donne naissance au projet GNU, qui sera plus tard combiné au noyau développé par un étudiant finlandais, Linus Torvalds, pour créer le système d’exploitation Linux.
Aujourd’hui, Linux est absolument partout. Il fait tourner l’écrasante majorité des serveurs web, l’intégralité des 500 superordinateurs les plus puissants du monde, les systèmes de défense militaires, les équipements bancaires et plus de 3 milliards de smartphones via Android. La force de ce système réside dans son modèle open source : n’importe qui peut inspecter le code et l’améliorer. Ce principe repose sur une célèbre maxime connue sous le nom de loi de Linus : avec suffisamment d’yeux, tous les bugs sont superficiels.
Cependant, cet écosystème tentaculaire repose sur des milliers de petits outils et bibliothèques imbriqués les uns dans les autres, souvent maintenus bénévolement par des développeurs isolés travaillant sur leur temps libre. C’est précisément cette architecture humaine qui a été ciblée.
L’outil de compression XZ et l’infiltration patiente
Parmi ces innombrables outils se trouve XZ, un programme de compression de données extrêmement performant créé en 2005 par le Finlandais Lasse Collin. Au fil des années, XZ est devenu une norme incontournable, intégrée dans presque toutes les distributions Linux majeures. Pendant près de deux décennies, Lasse a maintenu ce projet seul et sans rémunération.
Épuisé et souffrant de problèmes de santé mentale, le développeur a commencé à accumuler du retard, subissant la pression constante d’utilisateurs exigeants. C’est à ce moment de vulnérabilité qu’un certain Jia Tan est apparu. Extrêmement serviable, compétent et réactif, Jia a commencé à soumettre des correctifs utiles, soulageant considérablement Lasse. Au bout de plusieurs mois de collaboration exemplaire, Jia Tan s’est vu confier le rôle de co-mainteneur du projet XZ. Le piège venait de se refermer.
L’anatomie d’un piratage de génie
L’objectif final de Jia Tan n’était pas l’outil de compression lui-même, mais une cible beaucoup plus grande : OpenSSH. Il s’agit du protocole standard mondial qui permet aux administrateurs de se connecter à distance et de manière sécurisée à n’importe quel serveur. C’est littéralement la colonne vertébrale de la maintenance d’internet.
S’attaquer directement à OpenSSH est quasi impossible tant le code est scruté. Mais par le jeu des dépendances logicielles complexes de Linux, l’outil XZ se trouvait lié au processus de démarrage d’OpenSSH. Jia Tan a donc élaboré un plan en trois étapes d’une sophistication inouïe :
- Le cheval de Troie : Au lieu d’écrire du code malveillant visible, il a caché son programme dans des fichiers binaires de test censés contenir des données aléatoires. Ces fichiers ne sont jamais lus par des humains.
- La zone Boucles d’or : Pour pirater le processus d’authentification, le code malveillant devait s’insérer à un moment extrêmement précis du démarrage du système, juste après que les adresses mémoire soient attribuées, mais juste avant qu’elles ne soient verrouillées en lecture seule. En utilisant des fonctions de débogage obscures de Linux, le pirate a réussi à détourner la fonction de décryptage RSA.
- La clé passe-partout : Une fois en place, la porte dérobée interceptait discrètement toutes les tentatives de connexion. Si elle détectait une clé cryptographique spécifique connue du seul pirate, elle lui donnait un accès total à la machine, tout en effaçant les journaux de connexion pour ne laisser aucune trace.
La découverte miraculeuse
Début 2024, le plan touche à son but. Le code corrompu est intégré dans les versions de test de plusieurs distributions Linux majeures (Fedora, Debian, Ubuntu) et s’apprête à être déployé sur les versions d’entreprise sécurisées. Le monde est à quelques semaines du désastre.
Le salut est venu d’Andres Freund, un ingénieur allemand travaillant chez Microsoft. Alors qu’il effectuait des tests de routine sur une version instable de Debian, il a remarqué une anomalie insignifiante : les connexions SSH prenaient environ 500 millisecondes de plus que d’habitude. Intrigué, il a fouillé le code pendant des jours jusqu’à remonter la piste de l’outil XZ et découvrir la porte dérobée.
En donnant l’alerte sur une liste de diffusion publique de sécurité, Andres a permis aux équipes du monde entier de bloquer le déploiement juste à temps. Son obstination a littéralement sauvé internet.
Qui se cache derrière Jia Tan ?
Dès la révélation de l’affaire, l’identité virtuelle de Jia Tan s’est volatilisée. Selon les experts en cybersécurité, la patience, le budget et le niveau de sophistication technique requis pour mener une opération d’ingénierie sociale et informatique sur près de trois ans écartent la thèse du pirate isolé ou du groupe criminel classique.
Il s’agit très probablement d’une opération menée par un État. Bien que les fuseaux horaires des connexions du pirate pointent vers l’Asie ou l’Europe de l’Est (certains soupçonnent le groupe russe APT29), la prudence extrême de l’attaquant laisse penser que ces indices pourraient être de fausses pistes intentionnelles.
Cette affaire historique a provoqué une onde de choc. Elle démontre que la plus grande vulnérabilité de l’infrastructure numérique mondiale n’est pas le code lui-même, mais le facteur humain. Des pans entiers de notre économie et de notre sécurité reposent sur le travail non rémunéré de développeurs bénévoles, laissés seuls face à des organisations étatiques surpuissantes. Si l’ouverture du code source a permis de découvrir cette faille in extremis, elle souligne l’urgence absolue de repenser le financement et le soutien de ces architectes de l’ombre.
Source : Veritasium
