Les attaques en ligne lancées l’an dernier contre des entreprises américaines visaient notamment le code source, à en croire une analyse de l’expert en sécurité McAfee.
Les attaques en ligne lancées l’an dernier contre des entreprises américaines visaient notamment le code source, à en croire une analyse de l’expert en sécurité McAfee.
Les attaques perpétrées contre des entreprises telles Google et toute une série d’autres joyaux de la couronne de la Silicon Valley visaient entre autres explicitement le code source. Voilà ce qui ressort d’une analyse réalisée par McAfee sur les agressions qui semblaient provenir de Chine. Ce qui est étonnant, c’est que les entreprises attaquées exploitaient activement des outils de gestion de logiciels (software configuration management ou SCM) disponibles sur le marché.
Voilà pourquoi McAfee a passé au crible les produits SCM de Perforce et pointe du doigt dans un [white paper] un certain nombre de lacunes dans leurs dispositifs de sécurité. Il s’agit entre autres d’installations présentant des points faibles et des droits ‘system’. Il en résulte que des tiers peuvent s’emparer de sessions d’utilisation légitimes. La création de nouveaux comptes pourrait aussi être plus sûre. Et le code source sur les écrans de travail des développeurs est aisément accessible, une fois que ces appareils ont été piratés.
McAfee en conclut que dès que la sécurité du système et/ou du réseau est piratée, les cybercriminels ont beau jeu de voler le code source. Ils ont alors toute latitude de créer des copies illégales, de rechercher les points faibles dans le code et/ou éventuellement de réinstaller le code ‘adapté’ (comprenez avec des ‘portes dérobées d’accès’) dans le système.
Perforce affirme [dans sa réponse] que ses produits disposent à coup sûr de dispositifs de sécurité qui n’ont pas tous été utilisés par McAfee. Il n’empêche que l’entreprise va suivre plusieurs recommandations faites par l’expert en sécurité.
McAfee, de son côté, envisage d’examiner à la loupe d’autres produits SCM, tels IBM Rational, Microsoft Visual Source Safe et l’open source Concurrent Version System. L’entreprise conseille en outre de faire une utilisation aussi… sûre que possible d’autres logiciels qui gèrent l’accès à d’importantes informations professionnelles, comme les logiciels de gestion de documents, etc.
