Le Lapsus$ numérique Le groupe d’extorsion est le dernier à monter un déchaînement de vol de données très médiatisé contre de grandes entreprises technologiques. Et entre autres choses, le groupe est connu pour saisir et divulguer le code source à chaque occasion, y compris de Samsung, Qualcomm et Nvidia. Fin mars, parallèlement aux révélations selon lesquelles ils avaient piraté un sous-processeur Okta, les pirates ont également déposé une mine de données contenant des parties du code source de Microsoft Bing, Bing Maps et de son assistant virtuel Cortana. Ça sonne mal, non ?
Les entreprises, les gouvernements et d’autres institutions ont été en proie à des attaques de rançongiciels, à la compromission des e-mails professionnels et à un éventail d’autres violations au cours des dernières années. Les chercheurs disent, cependant, que même si les fuites de code source peuvent sembler catastrophiques, et ne sont certainement pas bonnes, elles ne sont généralement pas le pire scénario d’une violation de données criminelle.
“Certains codes sources représentent des secrets commerciaux, certaines parties du code source peuvent faciliter l’abus des systèmes, mais les comptes et les données des utilisateurs sont généralement les éléments les plus importants que les entreprises doivent protéger”, déclare Shane Huntley, directeur du groupe d’analyse des menaces de Google. . “Pour un chasseur de vulnérabilités, cela facilite certaines choses, leur permettant de sauter de nombreuses étapes. Mais ce n’est pas de la magie. Ce n’est pas parce que quelqu’un peut voir le code source qu’il pourra l’exploiter immédiatement.
En d’autres termes, lorsque les attaquants accèdent au code source, et en particulier lorsqu’ils le divulguent à la vue de tous, la propriété intellectuelle d’une entreprise peut être exposée au cours du processus, et les attaquants peuvent être en mesure de détecter plus rapidement les vulnérabilités de leurs systèmes. Mais le code source seul n’est pas une feuille de route pour trouver des bogues exploitables. Les attaquants ne peuvent pas reprendre Cortana à Microsoft ou accéder aux comptes des utilisateurs simplement parce qu’ils disposent d’une partie du code source de la plate-forme. En fait, comme le montrent les logiciels open source, il est possible que le code source soit accessible au public sans rendre le logiciel qu’il sous-tend moins sécurisé.
Huntley de Google souligne que la même vérification large et diversifiée nécessaire pour sécuriser les logiciels open source est également vitale pour le code source propriétaire critique, juste au cas où il serait volé ou fuirait. Et il note également que les principales vulnérabilités des logiciels open source, comme les récentes failles de Log4j, sont souvent restées cachées pendant des années, voire des décennies, comme des fautes de frappe discrètes qui ne sont pas détectées par un auteur, un éditeur ou un éditeur.
Microsoft a détaillé sa violation de Lapsus $ le 22 mars et a déclaré dans un communiqué que “Microsoft ne s’appuie pas sur le secret du code comme mesure de sécurité et la visualisation du code source n’entraîne pas d’augmentation des risques”.
En règle générale, les chercheurs en sécurité et les attaquants doivent utiliser la “rétro-ingénierie” pour trouver des vulnérabilités exploitables dans les logiciels, en travaillant à partir du produit final pour comprendre ses composants et son fonctionnement. Et les chercheurs disent que ce processus peut en fait être plus utile que de regarder le code source pour trouver des bogues, car il implique une analyse plus créative et ouverte que de simplement regarder une recette. Pourtant, il ne fait aucun doute que les fuites de code source peuvent être problématiques, en particulier pour les organisations qui n’ont pas effectué suffisamment d’audits et de vérifications pour s’assurer qu’elles ont détecté la plupart des bogues de base.