Apple, Tesla, Microsoft, PayPal, Netflix, Yelp ou encore Uber font partie de la grosse trentaine de sociétés ayant vu leurs systèmes internes être piratés par le biais d’une nouvelle approche, exploitant leur base open-source. Heureusement, le responsable de l’attaque était un chercheur en sécurité.
1 « J'aime »
Bravo a lui, récompense mérité je pense vu ce que ça pourrait faire perdre aux entreprises
2 « J'aime »
« Heureusement, le responsable de l’attaque était un chercheur en sécurité. » … ouf. Non, parce que c’est bien connu que les chercheurs sont bien plus intelligent que les hackers. Du coup on est sûrs que ces failles n’ont jamais été exploitées à mauvais escient, non ? … si ?
Ouais, n’importe qui de malveillant, mais compétent n’ira pas le crier sur les toits s’il découvre une telle faille, le but, c’est que ca dure un max de temps pour l’exploiter à fond. Par contre, il doit manquer pas mal d’explication sur le procédé parce que je ne vois pas comment on peut modifier « le nom des paquets », le dépôt bien qu’il soit public, ca reste le créateur de la lib qui peut modifier ca et pas n’importe qui ? Ou je ne comprends pas.
Il a du réussir à modifier un seul package qu’il contrôlait. Ensuite, il lui suffit d’indiquer dans ses dépendances des fork des librairies OS, le controleur de paquet (npm, yarn) ira les télécharger de toute façon. Le truc c’est de ne pas se faire choper pour la première inclusion de son package (qui doit être propre, après, quasiment personne ne vérifie les mise à jour)
1 « J'aime »
Ah ouais… donc le gars doit déjà posséder un package qui est utilisait par PayPal rien que ca… Ce n’est clairement pas à la portée du premier venu ? 
C’est pour cela qu’il passe par des logiciel open-source, le open-source veut dire que le code source est libre donc accessible à tous.
Normalement d’un point de vue sécurité, il faut un serveur intermédiaire à ton réseau LAN pour télécharger les mises à jours et comparer le versioning à des sources officiels pour justement éviter des malotru de forcer des mises à jour en changeant le versioning ou la date de création du fichier.
Non, tu n’as pas compris mon message, quand je dis qu’il possède un package que PayPal utilise, c’est dans le sens, c’est lui le créateur du package ou du fork de ce package, du coup forcément s’il veut faire une update malicieuse il peut ce le permettre et derrière impacté tout ceux qui utilise son package et qui font une update sans vraiment vérifier ce qu’elle apporte.
Hmm j’ai pas lu qu’il possédait quoi que ce soit, il utilise des répertoire open-source c’est tout
Oui, mais utilisé des répertoires, open-source ne veut pas dire que tu peux modifier ce que PayPal utilises à ta guise, il faut forcément qu’ils aient mordu à l’hameçon à un moment précis, je ne connais pas assez le gestionnaire npm, donc bon peu importe le sujet n’ai pas assez précis tant pis.
exoje: Si ce que vous dites est exact, alors il n’a pas exploité une faille, mais s’est servi de sa position de dev pour créer une faille. Et si c’est effectivement, les montants de bug bounties sont obtenus de façon frauduleuse par abus de confiance.