La backdoor XZ : le temps, ce maudit temps, et les mensonges

La backdoor XZ : le temps, ce maudit temps, et les mensonges

• Une backdoor cachée a récemment été découverte dans les tarballs de xz/liblzma.
• Il s'agit peut-être de l'une des plus graves violations de confiance dans l'écosystème du logiciel libre.
• On estime que la backdoor a été insérée par Jia Tan, mainteneur de longue date de xz.
• Pendant son activité en tant que mainteneur, Jia est resté un personnage relativement mystérieux, et on sait très peu de choses sur sa véritable identité.
• Dans le monde du logiciel libre, l'anonymat est généralement perçu positivement, mais dans ce cas, il est intéressant de découvrir qui a abusé d'une confiance construite au sein de la communauté pendant si longtemps.
• Les métadonnées que l'on peut tirer de l'activité de Jia permettent d'en apprendre davantage à son sujet.

Que peut-on apprendre du temps ?

• Réfléchir aux conditions dans lesquelles les logiciels sont créés.
• L'éventail de ce que les schémas temporels peuvent nous révéler est très large.
• Parmi ceux qui écrivent du code, certains le font dans le cadre de leur métier et d'autres comme loisir.
• Selon les régions, certains écrivent aussi du code à des heures différentes.
• Jours fériés, rythme de sommeil, équilibre entre vie professionnelle et vie personnelle : l'écriture de code n'échappe pas non plus à ces facteurs.
• Comprendre à quel moment quelqu'un écrit du code aide à comprendre pourquoi et d'où il l'écrit.

Analyse des commits de Jia

• Analyse des commits et des horodatages du dépôt XZ de JiaT75.
• Les horodatages Git peuvent être modifiés à volonté, mais manipuler des données temporelles de manière crédible est en réalité difficile.
• Il est plus facile de ne modifier que le fuseau horaire que de changer l'heure réelle.
• Jia Tan voulait probablement que les gens le considèrent comme asiatique, en particulier chinois, et la majorité de ses commits (440) portent un horodatage UTC+08.
• En réalité, il viendrait plutôt de quelque part dans le fuseau UTC+02 (hiver) / UTC+03 (heure d'été).
• Il lui est arrivé d'oublier de changer de fuseau horaire, ce qui correspond aux transitions vers l'heure d'été en Europe de l'Est.
• Son rythme de travail et ses jours fériés semblent davantage correspondre à ceux d'un Européen de l'Est qu'à ceux d'un Chinois.

L'avis de GN⁺

• Cet article offre un cas intéressant sur l'importance de la confiance et de l'anonymat dans la communauté du développement logiciel.
• Des menaces de sécurité comme une backdoor peuvent porter un coup sévère à la fiabilité des projets open source, ce qui signifie que les développeurs doivent accorder plus d'attention aux revues de code et aux audits de sécurité.
• Ce type d'incident rappelle aux développeurs l'importance des logs de commits et des métadonnées. Vérifier l'identité des contributeurs de confiance peut être essentiel pour la sécurité d'un projet.
• Parmi d'autres projets open source offrant des fonctionnalités similaires, on peut citer GitLab et GitHub, qui renforcent leurs protocoles de sécurité et l'authentification des utilisateurs afin de préserver la confiance de la communauté.
• Cet article montre à quel point il est important de trouver un équilibre entre anonymat et confiance au sein de la communauté technique. Les responsables de projet et les contributeurs devraient tirer des leçons de ce type d'événement et prendre des mesures pour renforcer la transparence et la sécurité du code.