Dans un mouvement destiné à renforcer la sécurité, XZ a supprimé toutes les contributions de l’auteur identifié comme Jia Tan, qui avait introduit une porte dérobée dans les utilitaires du format de compression XZ. Cet incident a été l’un des plus grands scandales de sécurité dans l’histoire de Linux. Heureusement, une enquête menée par un employé de Microsoft a permis de détecter la vulnérabilité à temps.
Un Scandale de Sécurité dans le Monde de Linux
La porte dérobée, qui affectait les utilitaires du format XZ, n’était pas présente dans le code source, mais plutôt dans les binaires compilés disponibles pour les utilisateurs, ce qui a rendu sa détection difficile. Cette attaque sophistiquée a dû franchir de nombreuses barrières pour passer inaperçue, et malgré les soupçons qui auraient dû surgir en raison de certains changements dans le code source, elle est initialement passée inaperçue.
Grâce à la détection opportune, il a été possible de prendre des mesures pour éviter des conséquences graves. Cependant, la gravité de l’incident a conduit à une révision exhaustive du code et à la mise en œuvre de changements importants pour prévenir de futures attaques similaires.
Mesures Implémentées
Un patch introduisant plusieurs modifications clés a été publié hier. La plus notable est l’élimination de Jia Tan en tant que mainteneur du logiciel et la suppression de tous ses messages de commit. De plus, la licence de XZ Embedded est passée du domaine public à la licence BSD Zero Clause (0BSD).
La licence 0BSD, malgré son nom, n’est pas issue d’une licence BSD, mais c’est une modification de la licence ISC. Cette licence est permissive et permet une plus grande flexibilité dans l’utilisation du logiciel. Les responsables de XZ expliquent que ce changement permet d’ajouter des identificateurs de licence SPDX correspondants, améliorant la clarté et la gestion du code.
Répercussions et Avenir
L’élimination du contenu lié à Jia Tan était une mesure attendue en raison de la nature de la vulnérabilité. Cependant, le changement de licence a surpris certains dans la communauté. Ce changement cherche à améliorer non seulement la sécurité, mais aussi à faciliter la collaboration et la maintenance à long terme du projet.
Annonce Officielle
L’annonce officielle a été faite par Lasse Collin, qui a détaillé les mises à jour de licence, de filtres et d’options de compression. Parmi les changements techniques figurent l’amélioration de la documentation, l’introduction de nouveaux filtres pour ARM64 et RISC-V, et les ajustements dans les options de compression du noyau.
Le communiqué souligne que la révision de la documentation et l’inclusion de nouveaux filtres permettront une meilleure compression du noyau et une plus grande sécurité dans les processus de construction.
Impact sur la Communauté
Cet incident a mis en évidence l’importance de la sécurité dans les projets open source. La communauté Linux, connue pour sa collaboration et sa transparence, a pris des mesures rapides et efficaces pour atténuer les risques associés à la porte dérobée. Les utilisateurs sont encouragés à télécharger la dernière version de XZ et à rester informés des mises à jour et améliorations de sécurité.
Avec ces changements, XZ cherche non seulement à se remettener de l’incident, mais aussi à établir une norme de sécurité et de fiabilité plus élevée dans le logiciel de compression.
