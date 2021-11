Des chercheurs mettent en garde contre l'attaque d'un cheval de Troie qui infecte le code source ouvert avec des bogues fantômes.



Vous vous souvenez de l'époque des pages de code et des systèmes d'exploitation personnalisés pour des langues spécifiques, comme DOS/V ? Unicode a plus ou moins résolu le plus gros problème de l'affichage des glyphes non-ASCII sur les ordinateurs, même si c'est toujours au système d'exploitation de mettre en œuvre le support, bien sûr.







Saviez-vous que vous pouvez écrire les sources en encodage Unicode ? Nous pensons que c'est très pratique pour les codeurs dans les pays où l'anglais n'est pas maîtrisé. Aussi utile soit-il, c'est aussi le vecteur d'attaque de la dernière faille de sécurité terrifiante : "Trojan Source". Révélée par deux chercheurs de l'université de Cambridge, Trojan Source est un moyen de dissimuler un code malveillant invisible dans le code source d'une application en utilisant les fonctions de direction du texte d'Unicode.



Cela fonctionne comme suit : Unicode possède un système appelé "bidi" (abréviation de "bi-directionnel") qui permet d'utiliser des codes de contrôle pour forcer un changement de direction du texte. C'est important lorsque l'on mélange des langues qui se lisent de gauche à droite (comme l'anglais et le russe) et des langues qui se lisent de droite à gauche (comme l'hébreu et l'arabe). Ces codes de contrôle peuvent être utilisés dans la source, y compris dans les commentaires et les chaînes de caractères.



Le problème est que, si les commentaires et les chaînes de caractères disposent généralement de mécanismes pour indiquer leur début et leur fin dans une langue donnée, ces limites ne sont presque jamais respectées par les surcharges bidi. Cela signifie qu'en plaçant ces caractères d'annulation exclusivement dans les commentaires et les chaînes de caractères, il est possible de créer un code qui semble faire une chose, mais qui dit en réalité quelque chose de complètement différent au compilateur.



C'est plutôt insidieux : le code résultant semblera sans défaut à tout examinateur de code humain, mais il pourrait contenir des portes dérobées triées sur le volet qui n'attendent que d'être exploitées. Comme l'explique l'un des auteurs, "si le changement de logique est suffisamment subtil pour ne pas être détecté lors de tests ultérieurs, un adversaire pourrait introduire des vulnérabilités ciblées sans être détecté."



C'est déjà assez mauvais, mais ce qui est encore plus affligeant, c'est que la plupart des systèmes d'exploitation et des éditeurs modernes préservent les codes bidi par des opérations de copier-coller. Il est courant pour les codeurs de plaisanter sur leur dépendance à l'égard de StackOverflow et d'autres sites similaires, où des programmeurs utiles fournissent des "exemples" de code aux pétitionnaires, qui se contentent ensuite de copier-coller le code "exemple" dans leurs applications. Il est tout à fait possible qu'un acteur malveillant incorpore soigneusement des codes bidi pour que son code "d'exemple" paraisse inoffensif, mais délivre en fait une charge utile méchante.



Les chercheurs ont accordé une période d'embargo de 99 jours pour permettre aux auteurs d'outils de corriger leurs logiciels, mais apparemment seul neuf des dix-neuf fournisseurs qu'ils ont contactés se sont engagés à publier un correctif. Étant donné que la faille a déjà été démontrée dans les langages JavaScript, Java, Rust, Go, Python et la plupart des variantes du langage C, espérons que cette divulgation publique incitera certains des autres fournisseurs à agir.



Le seul point positif de cette histoire est que les chercheurs n'ont pas été en mesure de trouver un seul cas d'exploitation de cette vulnérabilité dans la nature. Bien sûr, cela ne signifie pas qu'elle n'a pas été exploitée - ni qu'elle ne le sera pas - mais simplement que personne ne l'a encore remarquée. Pour l'instant, nous pouvons aller de l'avant et retaper manuellement le code "exemple" que vous mettez en œuvre.



HOTHARDWARE