xz porte dérobée : 5 Leçons

CVE-2024–3094 — également connu sous le nom de xz-backdoor ou xz-trojan — est la plus inquiétante attaque de la chaîne d'approvisionnement logicielle à ce jour.

Un développeur identifié comme Jia Tan (Github JiaT75) a utilisé l'ingénierie sociale pour entrer dans le projet open-source Tukaani et a gagné la confiance de la communauté au cours des années suivantes.

Jia a finalement obtenu le statut de mainteneur pour le projet XZ-Utils.

Enfin, Jia a utilisé son statut pour déployer une obfuscation intelligente dans le code source et les fichiers binaires afin de créer une porte dérobée dans les versions 5.6.0 et 5.6.1 d'XZ-Utils. S'il était resté non découvert jusqu'à son intégration aux principales distributions, des millions de versions de Debian et de Red Hat auraient pu être affectées.

Une chronologie bien écrite des événements est publiée ici.