Les chercheurs et les entreprises spécialisées dans la cybersécurité s’efforcent continuellement de mettre en place des systèmes de sécurité numérique avancés afin d’empêcher les pirates de s’emparer de données importantes provenant de grandes entreprises et organisations. Cependant, une récente étude menée par des chercheurs de l’Université de Cambridge montre que presque tous les codes informatiques sont vulnérables à un bug spécifique qui est actuellement présent dans tous les compilateurs de codes du marché.
L’étude intitulée « Trojan Source: Invisible Vulnerabilities » a été récemment publiée par des chercheurs en sécurité d’Angleterre. Dans ce document de 15 pages, les chercheurs détaillent comment le Trojan Source affecte les compilateurs de code, qui sont des applications logicielles qui compilent et convertissent les codes écrits par l’homme en ce que l’on appelle le « code machine ».
Pour ceux qui l’ignorent, lorsqu’un développeur se lance dans le développement d’une application logicielle, il commence généralement par des milliers de lignes de code écrites dans des langages de haut niveau tels que C++, Java ou Python. Bien qu’il s’agisse de langages spécialisés, le code doit encore être converti en bits binaires appelés code machine que l’ordinateur peut comprendre. C’est là que les compilateurs entrent en jeu, car ils sont capables de traduire les lignes de code écrites par l’homme en langage binaire que les systèmes informatiques comprennent.
Ainsi, la vulnérabilité récemment découverte affecte la plupart des compilateurs de code et plusieurs environnements de développement de logiciels. Elle concerne la norme de codage de texte numérique Unicode qui permet aux systèmes informatiques d’échanger des informations, quel que soit le langage. Le bug affecte spécifiquement l’algorithme bidirectionnel ou « Bidi » d’Unicode qui gère les textes en scripts mixtes, comme l’explique le journaliste en cybersécurité Brian Krebs.
D’après les résultats de l’étude, presque tous les compilateurs de code présentent cette vulnérabilité. Un pirate peut donc utiliser cette faille pour accéder aux compilateurs de code et modifier le codage original d’une application pendant le processus de compilation. Ainsi, même le développeur d’origine ne serait pas au courant du codage incorrect de ses applications, ce qui pourrait permettre au pirate d’accéder aux systèmes informatiques.
Surveillons de près !
Par conséquent, le rapport suggère que cette vulnérabilité pourrait déclencher des attaques à grande échelle de la chaîne d’approvisionnement dans de nombreux secteurs. Ainsi, la divulgation de la vulnérabilité a été coordonnée avec diverses organisations sur le marché, selon le rapport de Krebs. Le rapport suggère également que certaines entreprises ont promis de déployer des patchs pour corriger la vulnérabilité, tandis que d’autres entreprises auraient « traîné les pieds ».
« Le fait que la vulnérabilité Trojan Source affecte presque tous les langages informatiques en fait une rare opportunité pour une comparaison des réponses à l’échelle du système et écologiquement valide entre plateformes et entre fournisseurs. Comme de puissantes attaques de la chaîne d’approvisionnement peuvent être lancées facilement à l’aide de ces techniques, il est essentiel que les organisations qui participent à une chaîne d’approvisionnement en logiciels mettent en place des défenses », ont averti les chercheurs dans le document.