Les ordinateurs Linux ont échappé de peu à une menace potentielle qui aurait compromis leur sécurité, mais ce n'est pas l'histoire habituelle d'une vulnérabilité corrigée. Non, il s'agit cette fois d'un hacker qui a fait semblant de se porter volontaire pendant 2 ans pour maintenir un composant du système d'exploitation, et d'un vrai bénévole qui a découvert le problème par hasard. Découvrons comment et ce que cela aurait entraîné, mais surtout les risques d'un système extrêmement vulnérable, qui n'investit pas dans le travail sur lequel reposent les serveurs des géants du Web .

Ce qui s'est passé
Le 29 mars, une attaque contre le système Linux a été découverte, injectant du code malveillant dans le package XZ . Ce code modifie les fonctions de liblzma, qui est une bibliothèque de compression de données qui fait partie du package XZ Utils et est un élément essentiel de plusieurs distributions Linux majeures. Le package XZ Utils est un petit projet open source maintenu gratuitement par un développeur depuis au moins 2009, mais il est extrêmement important. En injectant ce code malveillant, le pirate a ouvert une porte dérobée qui pouvait être utilisée par n'importe quel logiciel connecté à la bibliothèque XZ et permettre l'interception et la modification des données utilisées avec la bibliothèque. Dans certaines conditions, cette porte dérobée pourrait permettre à un acteur malveillant de rompre l'authentification sshd , permettant ainsi à un agent attaquant d'accéder au système affecté. Nous parlons potentiellement de tous les ordinateurs et serveurs exécutant Linux dans le monde. Microsoft a mis en garde contre la vulnérabilité des distributions Linux concernées, qui incluent les versions 5.6.0 et 5.6.1 du package XZ Utils, et le Python Package Index (PuPI) a restreint la création de nouveaux comptes et la soumission de packages sur son portail.

Marqué comme CVE-2024-3094 , l'exploit a reçu un score de vulnérabilité (CVSS) de 10,0, ce qui est le score de menace le plus élevé possible offert par le National Institute of Standards and Technology (NIST). Pour donner une idée de la gravité, comme l'écrit Ben Thompson dans Stratechery : « la plupart des ordinateurs du monde seraient vulnérables et personne ne le saurait ». Et encore une fois, Will Dormann, analyste principal des vulnérabilités chez la société de sécurité Analysgence, a déclaré à Ars Technica : « Si cela n'avait pas été découvert, cela aurait été catastrophique pour le monde . »

L’incroyable histoire de la vulnérabilité : comment elle a été découverte
La découverte de cette vulnérabilité donne une idée de la fragilité du monde Linux. Le 29 mars, Andres Freund , un développeur Microsoft également bénévole pour PostgreSQL, effectue un micro-benchmark de routine lorsqu'il remarque un petit retard de 600 ms avec les processus ssh . Ceux-ci utilisent une quantité surprenante de CPU même s’ils échouent immédiatement. Il devient immédiatement méfiant et se souvient que quelques semaines plus tôt, il avait remarqué une " étrange plainte " d'un utilisateur de Postgres à propos de Valgrind, le programme Linux qui vérifie les erreurs de mémoire. Après enquête, Freund découvre finalement le problème et publie sa découverte sur la liste de diffusion de sécurité Open Source avec le titre "Une porte dérobée a été ouverte dans le référentiel xz et l'archive tar xz". Freund publie alors un article sur Mastodon , dans lequel il révèle à quel point la découverte a été complètement accidentelle : "Il a vraiment fallu beaucoup de coïncidences."

Une attaque prévue depuis deux ans, et ce n'est peut-être pas fini
La communauté a alors tenté de comprendre ce qui s'était passé et il s'est avéré que le responsable était un développeur qui avait repris le projet XZ . Comme nous l'avons vu, XZ est maintenu par un seul développeur, Lasse Collin . En 2021 JiaT75 , Jia Tan, commence à envoyer des contributions au projet et par la suite deux développeurs, probablement fictifs, Kumar et Ens, commencent à se plaindre des faibles progrès du développement. Collins s'excuse en disant qu'il a des problèmes de santé mentale et, sur l'insistance de Kumar et Ens, confie à JiaT75 d'abord un rôle plus important et en 2022 la maintenance du projet. Jia Tan travaille depuis deux ans sur le package XZ, puis injecte le code malveillant pour ouvrir la porte dérobée. Mais étant donné les efforts et les ressources nécessaires, nombreux sont ceux qui, sur le Web, pensent que l'auteur du code malveillant est un attaquant sophistiqué, peut-être affilié à une agence d'État . La situation continue d'évoluer et d'autres vulnérabilités pourraient être découvertes .

Le problème du mainteneur
L'incident et ses conséquences possibles sont un exemple de la beauté de l'open source et de sa vulnérabilité. Dans la pratique, de nombreux systèmes qui alimentent les serveurs d’organisations multimilliardaires sont entretenus gratuitement par des bénévoles. Un développeur derrière FFmpeg, un package multimédia open source populaire, a souligné le problème sur X , expliquant qu'il avait demandé à Microsoft de l'aider à maintenir le projet, mais qu'on lui avait proposé quelques milliers de dollars. Ces investissements ne sont pas considérés comme attractifs, même s’ils seraient probablement rentabilisés des milliers de fois au fil du temps. Les détails de cette attaque ont été découverts sans le soutien financier direct de nombreuses entreprises et organisations bénéficiant de ces bibliothèques.

Mon ordinateur est-il compromis ?
Quelles distributions sont concernées ? Disons tout de suite que les versions stables de Debian Linux (comme Ubuntu) sont sûres, mais les versions de test, instables et expérimentales nécessitent des mises à jour de xz-utils en raison de packages compromis. Red Hat a identifié les packages vulnérables dans Fedora 41 et Fedora Rawhide , mais pas dans Red Hat Enterprise Linux (RHEL), et a déconseillé de les utiliser jusqu'à ce qu'une mise à jour soit disponible. SUSE a publié des mises à jour pour openSUSE (Tumbleweed ou MicroOS). Les utilisateurs de Kali Linux qui ont mis à jour leur système entre le 26 et le 29 mars doivent à nouveau mettre à jour pour obtenir un correctif, tandis que ceux qui ont mis à jour avant le 26 mars ne sont pas affectés par cette vulnérabilité. On se souvient que le package à risque est XZ Utils, versions 5.6.0 et 5.6.1, mais comment savoir si notre ordinateur est concerné ? Simple, vous pouvez connaître la version de XZ Utils en exécutant la commande en SSH : xz --version . Compte tenu de la complexité du système mis en œuvre, l’accent est principalement mis sur les entreprises ou les organisations. La Cybersecurity and Infrastructure Security Agency (CISA) a recommandé aux organisations de passer aux versions précédentes de XZ Utils .

" Les dernières semaines ont été plutôt calmes, donc je pense qu'il n'y a aucune vraie raison de retarder la version 6.8 de [Linux Kernel] ." C'est un Linus Torvalds plutôt détendu (pour ne pas dire apathique) qui annonce la sortie de la version 6.8 du Kernel Linux. À tel point que, dans ce qu'il définit comme « un océan de normalité », il se livre à quelques considérations frivoles, annonçant comment la version 6.9 sera la première à atteindre l'objectif de 10 millions d'objets Git . Ce qui vous donne une idée de la quantité de nouvelles fonctionnalités de la version nouvellement publiée. Mais voyons ce qu'a apporté le noyau 6.8 . Torvalds décrit le changement le plus important comme l'ajout d'un nouveau pilote Xe drm . Ce pilote alimente les GPU Intel , qu'ils soient intégrés à un processeur ou discrets, mais est considéré comme expérimental. Un autre ajout au noyau implique la prise en charge d' AWS Nitro , la plate-forme de base pour la dernière génération d'instances Amazon Web Services EC2. Mais, comme le décrit laconiquement Torvalds, la majorité des nouvelles fonctionnalités sont des corrections de bugs et diverses mises à jour. Ceux-ci incluent des correctifs pour le système de fichiers bcachefs, l'un des ajouts majeurs à Linux 6.7, ainsi que des améliorations qui ont amené le noyau Rust aux processeurs utilisant l'architecture LoongArch. De plus, un meilleur support est arrivé pour le composant graphique du Raspberry Pi 5 et pour les contrôleurs Nintendo Switch Online.

Rien de sensationnel, " comme il se doit ", écrit Torvalds, et c'est peut-être pour cette raison qu'il s'est livré à une analyse définie comme " un peu de numérologie aléatoire ". Le créateur du noyau Linux a expliqué comment la version 6.8 a atteint 9,996 millions d'objets Git, la 6.9 sera donc la première à dépasser les 10 millions d'objets Git. Pour ceux qui ne le savent pas, les objets Git représentent le contenu des fichiers d'un dossier dans un référentiel, tels que les commits, les arborescences (les dossiers) et les objets balises. Rien de spécial donc, juste un chiffre rond qui, si l'on veut, représente un "objectif". Comme le souligne Torvalds lui-même : « Git s'en fiche ». Ce nombre ne représente évidemment pas les autres arborescences Linux, qui ont déjà largement dépassé les 10 millions d'objets.

La prise en charge de Linux pour les MacBook de dernière génération n'est probablement pas aussi étendue qu'on pourrait s'y attendre, mais vous disposerez désormais d'une nouvelle distribution optimisée pour votre ordinateur portable de marque Apple : nous parlons de Fedora , qui a enfin ajouté un support natif pour le puces Apple Silicon . Soyez toutefois prudent, car il existe une exception importante. Pour être précis, la distribution prenant en charge les puces Apple s'appelle Fedora Asahi Remix et est le résultat de la collaboration entre le projet Fedora et l'équipe Asahi Linux. Bref, il s'agit d'un fork basé sur la version 39 de Fedora, avec un support natif de toutes les puces Apple M1 et Apple M2 , donc compatible avec les MacBook, Mac Mini, Mac Studio et iMac nouvelle génération. Comme vous l'avez peut-être remarqué, il y a un manque de prise en charge des appareils équipés de puces Apple de la série M3 , lancées en octobre dernier . Cela est probablement dû au temps limité disponible pour le développement et les tests de Fedora Asahi Remix sur un matériel aussi récent, nous nous attendons donc à ce que le support arrive dans les prochains mois, peut-être avec la version 40 de Fedora .

Le développement de Fedora Asahi Remix a commencé en 2021 et vient seulement de porter ses premiers fruits. La distribution propose deux solutions différentes pour l'environnement de bureau : vous pouvez choisir entre GNOME 45 et KDE Plasma 5.27 LTS , qui utilisent tous deux le système Wayland par défaut. Curieux d'essayer cette distribution sur votre Mac ? Il ne vous reste plus qu'à vous rendre sur le site officiel du projet Fedora Asahi Remix et à suivre les instructions d'installation . L'équipe derrière le projet affirme qu'il s'agit de l'expérience Linux « la plus raffinée » pour les appareils Apple Silicon, mais vous devrez le constater par vous-même.

Le noyau Linux 6.2 a ajouté la prise en charge des processeurs ARM de première génération d'Apple , à savoir M1, M1 Pro, M1 Max et M1 Ultra , et nous nous attendons à ce qu'il devienne le noyau par défaut pour Ubuntu 23.04 et Fedora 38 sous peu . Cependant, cela ne signifie pas que nous aurons bientôt des distributions Linux sans faille sur les ordinateurs Apple. En fait, une longue liste de fonctions prises en charge et d'autres qui ne sont pas encore prêtes pour les débuts est disponible sur GitHub , et parmi ces dernières, nous trouvons des éléments de base tels que Thunderbolt , haut-parleurs , microphones , moteurs neuronaux et plus encore. La base est là, mais avant que des distributions prêtes pour une utilisation quotidienne puissent arriver à partir de là ou même remplacer complètement macOS , il faudra encore un certain temps, sans parler du fait que le travail pour prendre en charge les processeurs de génération M2 en est pratiquement à ses balbutiements. Ce n'est pas un hasard si les premiers articles un peu trop enthousiastes sur le sujet ont déjà suscité quelques polémiques.

On parle à peine de malware sur les distributions Linux : les systèmes d'exploitation basés sur ce noyau ont tendance à être assez sûrs et aussi très peu de malware sont développés pour ces OS, étant donné la faible prévalence par rapport à Windows ou macOS . Mais Linux est le roi incontesté en matière de serveurs, et de nouveaux malwares attaquant ces infrastructures ont récemment été découverts. Les chercheurs en sécurité Intezer et The BlackBerry Threat Research & Intelligence Team l' ont appelé Symbiote , et c'est un véritable « agent secret » : essentiellement, Symbiote est une porte dérobée extrêmement mature qui parvient à se fondre parfaitement , au point de ne pas être détectée même à travers enquêtes très approfondies par des chercheurs en sécurité.

La porte dérobée en question utilise un accès de haut niveau au système pour éliminer tout signe d'infection du système de fichiers, des processus système et du trafic réseau . La particularité de Symbiote est d' infecter tous les processus en cours d'exécution sur un serveur : après cela, le malware fournit au pirate un rootkit pour voler des identifiants et des informations importantes , permettant également de contrôler le serveur à distance. Dans tous les cas, à ce jour , il n'y a aucune preuve d'infections réelles , puisque seuls des échantillons de logiciels malveillants ont été trouvés sur le réseau, bien qu'évidemment nous devrions tous porter une attention particulière à ce type de logiciels malveillants, en particulier les administrateurs réseau.

Les utilisateurs de Linux , et en particulier les utilisateurs de la distribution Linux Mint , connaîtront certainement Timeshift : c'est une application qui permet de faire et éventuellement de restaurer des sauvegardes de l'ensemble du système d'exploitation (elle fonctionne de manière très similaire à Time Machine d'Apple). L'application, qui est très appréciée pour sa facilité d'utilisation et sa fiabilité, va maintenant passer entre les mains de l'équipe de développement de Linux Mint. Le développeur original du logiciel, Tony George , a déclaré qu'il n'avait plus de temps disponible pour effectuer le développement et la maintenance de Timeshift : l'application deviendra donc une XApp , soit un programme supporté directement par l'équipe à l'origine du développement de Linux Mint , afin de continuer à publier des mises à jour importantes.

Cependant, il y a d'autres avantages à ce choix : être développé directement par l'équipe qui s'occupe du système d'exploitation permettra à Timeshift d'être encore plus intégré à l'ensemble de l'environnement Linux Mint , garantissant probablement des performances encore meilleures. Bien sûr, les utilisateurs n'ont à se soucier de rien - ce "passage" sera totalement indolore.

NixOS est une distribution Linux particulière basée sur le gestionnaire de packages Nix : ce dernier, en réalité, n'est pas qu'un simple gestionnaire de packages, mais un logiciel qui inclut également un langage de programmation pour générer des packages. L'objectif de Nix est d' assurer une gestion des packages fiable, reproductible et portable sur différentes versions. Les développeurs de NixOS ont récemment publié la version 22.05 du système d'exploitation, qui apporte plusieurs nouveautés qui seront certainement pratiques pour les utilisateurs un peu moins expérimentés : en effet NixOS inclut désormais un installateur graphique basé sur le framework Calamares (beaucoup plus facile à utiliser que la commande ligne). De plus, NixOS est désormais basé sur le gestionnaire de packages Nix 2.8 , qui offre des performances nettement meilleures que la version précédente et inclut des améliorations générales. La prise en charge de la commande expérimentale nix fmt est également arrivée . Toutes les informations concernant cette version de NixOS sont disponibles sur cette page .

Les plus geeks et amoureux du monde Linux connaîtront sûrement Distrobox , le système open source qui permet de démarrer rapidement n'importe quelle distribution Linux au sein du terminal. Le programme populaire, développé par un Italien, a maintenant été mis à jour vers la version 1.3 , apportant un certain nombre d' améliorations .


Parmi eux, le développeur et ses collaborateurs citent

nouveaux outils et commandes
prise en charge du conteneur racine
prise en charge supplémentaire des dernières versions de Linux
meilleure intégration avec le système hôte
d'autres changements , y compris des améliorations d'intégration d'openSUSE, une meilleure intégration/gestion des fuseaux horaires, etc.
Comme nous l'avons lu sur la page officielle du projet, Distrobox "utilise podman ou docker pour créer des conteneurs à l'aide de la distribution Linux de votre choix. Le conteneur créé sera étroitement intégré à l'hôte, permettant le partage du répertoire HOME de l'utilisateur, le stockage de périphériques USB externes. , applications graphiques (X11 / Wayland) et audio. "

Si vous souhaitez le télécharger, sur la page GitHub, vous trouverez le changelog complet, le lien de téléchargement et plus de détails : https://github.com/89luca89/distrobox/releases/tag/1.3.0

Depuis plusieurs années, Microsoft vous autorise à installer le sous-système Windows pour Linux (WSL) sur ses systèmes d'exploitation : il s'agit d'une couche de compatibilité qui permet de faire tourner nativement des logiciels Linux sur Windows 10 et 11 . La nouvelle version de WSL s'est définitivement améliorée par rapport au passé, et voici un petit guide sur la façon de l'installer sur les ordinateurs Windows . WSL 2 change radicalement l'architecture : c'est toujours de la virtualisation, mais maintenant tout est beaucoup plus intégré au système hôte, c'est-à-dire Windows, et les performances sont grandement améliorées. De plus, avec WSL 2, il est possible de profiter d'un noyau Linux complet . WSL 2 fonctionne à la fois sur les machines x64 et ARM : dans ce dernier cas, vous devrez utiliser une version de Linux compatible ARM.

La seule exigence pour l'installation de WSL 2 est d'avoir Windows 11 ou Windows 10 version 2004 ou ultérieure, avec le correctif KB5004296 installé . L'installation proprement dite est vraiment très simple et peut se faire de deux manières : la première consiste à télécharger l' application Windows Subsystem for Linux Preview à partir du Microsoft Store, tandis que la seconde nécessite le passage de PowerShell. Pour installer WSL 2 via PowerShell , tapez simplement la commande wsl –install et, lorsque vous y êtes invité, redémarrez votre PC. À ce stade, vous pouvez utiliser la distribution Ubuntu, installée par défaut, ou vous pouvez passer à une autre distribution Linux de votre choix.

Le gouvernement chinois a ordonné que les PC Windows actuels utilisés par le gouvernement central soient remplacés par de nouveaux ordinateurs basés sur Linux . De plus, il sera obligatoire de cibler uniquement les fabricants chinois. Selon Bloomberg, la Chine remplacera donc environ 50 millions de PC dans les seules agences du gouvernement central. La transition, bien sûr, ne se fera pas d'un seul coup, mais s'achèvera en deux ans. Cette nouvelle, entre autres choses, comme on peut facilement le prévoir, a fait monter en flèche les actions d'entreprises comme Lenovo. Enfin, cette décision vise à remplacer les technologies étrangères par des technologies locales afin de poursuivre l'indépendance tant sur le plan logiciel que matériel.