Marchés français ouverture 3 h 20 min
  • Dow Jones

    30 932,37
    -469,63 (-1,50 %)
     
  • Nasdaq

    13 192,35
    +72,95 (+0,56 %)
     
  • Nikkei 225

    29 600,96
    +634,95 (+2,19 %)
     
  • EUR/USD

    1,2082
    -0,0006 (-0,05 %)
     
  • HANG SENG

    29 328,38
    +348,17 (+1,20 %)
     
  • BTC-EUR

    38 272,01
    +396,66 (+1,05 %)
     
  • CMC Crypto 200

    923,48
    -9,66 (-1,04 %)
     
  • S&P 500

    3 811,15
    -18,19 (-0,48 %)
     

Un hacker récompensé pour avoir piraté 35 grandes entreprises, dont Microsoft, Apple et Tesla !

Louis Neveu, Journaliste
·2 min de lecture

On appelle cela, un bug Bounty, en français « la prime aux bugs », et c’est devenu un sport international pour les hackers vertueux. Cela peut rapporter gros, comme en témoigne cette prime de 130.000 dollars qu’a cumulé, Alex Birsan, un chercheur en cybersécurité, pour avoir exploité une vulnérabilité dans les systèmes internes de 35 grandes entreprises du secteur de la high-tech. Parmi elles, on trouve des ténors comme Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, ou encore Uber. Pas besoin d’intervention de la part de la victime, comme c’est habituellement le cas lors des attaques, le white hat a exploité une faille commune dans les gestionnaires de paquets de plusieurs langages de programmation, comme npm pour NodeJS, PyPi pour Python et RubyGems pour Ruby. Elle pourrait aussi bien fonctionner avec d'autres langages.

L’astuce employée est assez simple mais personne ne l’avait découverte

L’astuce employée est assez simple mais personne ne l’avait découverte. Pour créer leurs logiciels, les géants de la high-tech font appel à du code open source qui est stable, déjà éprouvé, et qui leur fait gagner du temps. C’est un grand classique et ce type de code est public, disponible sur des plateformes comme GitHub, par exemple. En plus de ces packages de codes publics, les développeurs des sociétés réalisent leurs propres packages privés qui circulent parfois en dehors empaquetés dans d'autres morceaux de codes. Avec cette information, il savait quels codes privés faisaient appels à certains packages publics précis.

La prime maximale accordée par Microsoft

Et c’est justement sur des plateformes, elles aussi, publiques qu’il a déniché ces packages privés. Par la suite, il a injecté son propre code dans l’un des packages publics en reprenant le même nom. Les systèmes des entreprises faisaient appel à ce type de packages dotés de son code et l’exécutaient tout bonnement. Le principe est aussi simple que cela et c’est justement ce qui a inquiété les entreprises...

> Lire la suite sur Futura