Le bogue “Trojan Source” est une nouvelle façon d’attaquer les encodages de programmes

données piratées

Crédit : CC0 Domaine public

Deux experts en sécurité de TrojanSource ont trouvé un nouveau moyen d’attaquer le code source de l’ordinateur, un moyen qui trompe un compilateur (et un examinateur humain) en lui faisant croire que le code est sûr. Nicholas Boucher et Ross Anderson, tous deux de l’Université de Cambridge, ont publié un article sur la page Web TrojanSource détaillant la vulnérabilité et les moyens de la corriger.

Comme Boucher et Anderson le décrivent, la vulnérabilité implique des attaques contradictoires commises par des types néfastes utilisant des caractères de contrôle Unicode pour réorganiser les caractères dans le code source qui semblent légitimes aux programmeurs. Plus précisément, la vulnérabilité implique l’utilisation d’un algorithme « Bidi », en Unicode (une norme de codage internationale pouvant être utilisée dans différentes langues) où les caractères peuvent être placés à la fois de gauche à droite et de droite à gauche, car certaines langues, telles que L’hébreu et l’arabe s’écrivent et se lisent de droite à gauche.

La vulnérabilité existe car les algorithmes qui traitent un tel code ne prennent pas en considération le fait que certains des caractères qui sont lus de gauche à droite peuvent avoir une signification ou un objectif différent s’ils sont lus de droite à gauche. Parce que pratiquement tous les langages de programmation les plus populaires utilisés aujourd’hui (C, C+, Java, Python, Go, Rust et JavaScript) autorisent Unicode, cela signifie que pratiquement tous les programmes sont potentiellement à risque.

A titre d’exemple, Boucher et Anderson montrent qu’une ligne de code telle que :

/* commencer uniquement les administrateurs */ if (isAdmin) {

Peut être changé en :

/* if (isAdmin) { commencer uniquement les administrateurs */

La première ligne est un commentaire inoffensif inséré par un programmeur, la seconde est un code qui pourrait être utilisé pour obtenir le résultat souhaité par un pirate informatique. Les chercheurs suggèrent que la vulnérabilité représente une menace sérieuse pour les chaînes d’approvisionnement logicielles. Si de telles vulnérabilités étaient exploitées, elles pourraient avoir un impact sur les logiciels en aval en leur permettant d’hériter de la même vulnérabilité.

Parce que la vulnérabilité existe pour une si grande variété de langages de programmation, sa divulgation a d’abord été coordonnée avec les responsables chargés de maintenir les règles de ces langages, leur donnant le temps d’ajouter des modifications aux compilateurs et aux interprètes pour prendre en compte et atténuer une telle menace.


Vulnérabilité trouvée dans la liseuse Kindle


Plus d’information:
Rapport : www.trojansource.codes/trojan-source.pdf

TrojanSource: www.trojansource.codes/

© 2021 Réseau Science X

Citation: Le bogue ‘Trojan Source’ une nouvelle façon d’attaquer les encodages de programmes (2021, 3 novembre) récupéré le 3 novembre 2021 à partir de https://techxplore.com/news/2021-11-trojan-source-bug-encodings.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.