Une vilaine backdoor a été dénichée dans l’utilitaire xz Utils, un outil de compression présent dans un paquet de distributions Linux. Et attention, c’est du lourd : cette saloperie est capable de contourner l’authentification SSH et donc de permettre un accès non autorisé aux systèmes. Autant vous dire que c’est la panique générale !

La faille a été découverte le 29 mars 2024 par un dénommé Andres Freund, un développeur qui a flairé l’embrouille dans les versions 5.6.0 et 5.6.1 de xz Utils dont la liblzma. La backdoor se planque dans les fichiers de test bad-3-corrupt_lzma2.xz et good-large_compressed.lzma, et utilise un script appelé par build-to-host.m4 pour s’incruster dans le processus de build. Cerise sur le gâteau, elle exploite le mécanisme IFUNC de la glibc pour détourner l’authentification d’OpenSSH à l’exécution. Machiavélique !

Qu’est-ce que l’éthique ?La définition assez classique qu’on peut trouver dans les dictionnaires, c’est que c’est un ensemble de règles de bonne conduite, de principes moraux, ce qui est assez vaste, plutôt subjectif. Ce qui va être moral pour moi ne l’est pas pour mon voisin. C’est pour ça que l’éthique s’est un peu développée, à la limite on peut parler de spécialisation, c’est-à-dire que, pour chaque domaine, un certain nombre de principes éthiques se développent auxquels chacun est censé obéir pour nuire au moins de monde possible.