Protocole concerné : OpenSSH via la bibliothèque liblzma (XZ Utils)
Principe de l’attaque : Opération d’ingénierie sociale sur 3 ans (2021-2024) pour infiltrer un projet open-source. L’attaquant “Jia Tan” a gagné la confiance du mainteneur épuisé, est devenu co-mainteneur, puis a injecté une backdoor sophistiquée dans les tarballs de distribution (absente du dépôt Git). La backdoor détourne RSA_public_decrypt pour permettre l’authentification SSH non autorisée.
Ce que permet l’attaque :
- Authentification SSH sans mot de passe avec privilèges root
- Exécution de commandes arbitraires
- Contrôle total du système
Comment se protéger :
- Vérifier la version : XZ Utils 5.6.0 et 5.6.1 sont compromises
- Mettre à jour vers version corrigée
- Comparer les checksums Git vs tarball
- Auditer les maintainers de projets critiques
- Surveillance des anomalies (latence SSH, CPU élevé)
Exemple concret : Découvert par Andres Freund (Microsoft) en mars 2024 suite à une anomalie de 500ms de latence SSH.
Année de découverte : 2024 (backdoor injectée progressivement 2022-2024)