Il a fallu cinq ans pour patcher cette faille zero-day dans le noyau Linux
-
Les chercheurs en sécurité de Google sont tombé sur une vulnérabilité qui avait déjà été signalée en 2016 sans être corrigée. Quelques années plus tard, elle s’est retrouvée dans l’arsenal d’un éditeur de logiciels espion pour pirater des smartphones Android.
La chasse aux failles zero-day n’est pas un long fleuve tranquille. Parfois, il y a des choses qui se perdent dans les méandres. Le dernier exemple en date vient d’être livré par les chercheurs en sécurité de Google. À l’occasion de la conférence Black Hat 2022, ces derniers ont présenté une palanquée de failles zero-day utilisées par des éditeurs de logiciels de surveillance dans le but de pirater des terminaux Android.
L’une de ces failles (CVE-2021-0920) est particulièrement remarquable, car elle a fait partie d’un enchaînement de vulnérabilités très sophistiqué qui permettait d’avoir un contrôle à distance du terminal avec les privilèges d’administrateur. Cette faille se trouvait dans le module « kernel garbage collection » et été patchée en septembre 2021. Mais des recherches presque archéologiques ont montré qu’elle était déjà connue depuis au moins 2016.
Une occasion manquée
Comme le relate Gizmodo, Google a pu retrouver des échanges à ce sujet dans la liste de diffusion Linux Kernel Mailing List. Un patch avait même été proposé, mais il a été refusé faute d’accord général sur la question. L’un des développeurs du noyau de Linux écrivait ainsi :
« Pourquoi est-ce que je devrais appliquer un patch qui n’est qu’un RFC [Request For Comment, un document qui décrit une technologie en vue d’une adoption future, ndlr], qui ne dispose pas d’un message de commit convenable, où il manque une véritable signature, et qui ne bénéficie pas de validations ou de retours de la part de développeurs connus ?».
Après cela, tout le monde a oublié, sauf un éditeur de logiciels espions qui l’a intégré ni vu ni connu dans son produit. Il a fallu attendre que les attaques qui en ont découlé soient analysées par les chercheurs de Google pour que cette faille revienne sur le tapis et soit enfin colmatée. Un processus finalement assez tortueux qui laisse aux pirates trop de marges de manœuvre.
Une trentaine d’acteurs suivis à la culotte
Chez Google, le risque provenant de ces éditeurs est devenu majeur. « Auparavant, nous n’avions qu’à nous concentrer sur des menaces comme celles venant de la Chine, de la Russie ou de la Corée du Nord. Désormais, notre groupe d’analyse de la menace (Threat Analysis Group, TAG) dispose d’une équipe dédiée aux fournisseurs et aux opérateurs commerciaux (…) TAG suit activement plus de 30 fournisseurs avec différents niveaux de sophistication et d’exposition publique, vendant des exploits ou des capacités de surveillance à des acteurs étatiques », a déclaré il y a quelques semaines Shane Huntley, directrice du TAG, auprès de la Chambre des représentants des États-Unis. Et ce suivi est d’autant plus difficile que les techniques utilisées par ces acteurs sont de haut niveau, comparable à celles utilisées par les États.
