{"id":397625,"date":"2022-10-04T22:00:32","date_gmt":"2022-10-05T00:00:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-signalent-une-vulnerabilite-de-la-chaine-dapprovisionnement-dans-le-referentiel-php-de-packagist\/"},"modified":"2022-10-04T22:00:33","modified_gmt":"2022-10-05T00:00:33","slug":"des-chercheurs-signalent-une-vulnerabilite-de-la-chaine-dapprovisionnement-dans-le-referentiel-php-de-packagist","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-signalent-une-vulnerabilite-de-la-chaine-dapprovisionnement-dans-le-referentiel-php-de-packagist\/","title":{"rendered":"Des chercheurs signalent une vuln\u00e9rabilit\u00e9 de la cha\u00eene d&#8217;approvisionnement dans le r\u00e9f\u00e9rentiel PHP de Packagist"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs ont r\u00e9v\u00e9l\u00e9 des d\u00e9tails sur une faille de s\u00e9curit\u00e9 de haute gravit\u00e9 d\u00e9sormais corrig\u00e9e dans Packagist, un r\u00e9f\u00e9rentiel de packages logiciels PHP, qui aurait pu \u00eatre exploit\u00e9e pour monter des attaques de cha\u00eene d&#8217;approvisionnement logicielle.<\/p>\n<p>&#8220;Cette vuln\u00e9rabilit\u00e9 permet de prendre le contr\u00f4le de <a rel=\"nofollow noopener\" href=\"https:\/\/packagist.org\/\" target=\"_blank\">Emballeur<\/a>&#8220;, Thomas Chauchefoin, chercheur \u00e0 SonarSource <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonarsource.com\/securing-developer-tools-a-new-supply-chain-attack-on-php\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.  Packagist est utilis\u00e9 par le gestionnaire de packages PHP Composer pour d\u00e9terminer et t\u00e9l\u00e9charger les d\u00e9pendances logicielles incluses par les d\u00e9veloppeurs dans leurs projets.<\/p>\n<p>La divulgation intervient alors que l&#8217;implantation de logiciels malveillants dans des r\u00e9f\u00e9rentiels open source se transforme en un canal attrayant pour le montage d&#8217;attaques de la cha\u00eene d&#8217;approvisionnement logicielle.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-24828\" target=\"_blank\">CVE-2022-24828<\/a> (score CVSS : 8,8), la <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/composer\/composer\/security\/advisories\/GHSA-x7cr-6qr6-2hh6\" target=\"_blank\">publier<\/a> a \u00e9t\u00e9 d\u00e9crit comme un cas d&#8217;injection de commande et est li\u00e9 \u00e0 un autre bogue Composer similaire (CVE-2021-29472) qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 en avril 2021, sugg\u00e9rant un correctif inad\u00e9quat.<\/p>\n<p>&#8220;Un attaquant contr\u00f4lant un r\u00e9f\u00e9rentiel Git ou Mercurial explicitement r\u00e9pertori\u00e9 par URL dans le dossier d&#8217;un projet <a rel=\"nofollow noopener\" href=\"https:\/\/getcomposer.org\/doc\/01-basic-usage.md#composer-json-project-setup\" target=\"_blank\">compositeur.json<\/a> peut utiliser des noms de branche sp\u00e9cialement con\u00e7us pour ex\u00e9cuter des commandes sur la machine ex\u00e9cutant la mise \u00e0 jour du compositeur,&#8221; Packagist <a rel=\"nofollow noopener\" href=\"https:\/\/blog.packagist.com\/cve-2022-24828-composer-command-injection-vulnerability\/\" target=\"_blank\">divulgu\u00e9<\/a> dans un avis d&#8217;avril 2022.<\/p>\n<p><iframe loading=\"lazy\" title=\"Demonstration of CVE-2022-24828 on a test instance of Packagist\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/6TzaVh-Ludw?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>Une exploitation r\u00e9ussie de la faille signifiait que les demandes de mise \u00e0 jour d&#8217;un paquet auraient pu \u00eatre d\u00e9tourn\u00e9es pour distribuer des d\u00e9pendances malveillantes en ex\u00e9cutant des commandes arbitraires sur le serveur principal ex\u00e9cutant l&#8217;instance officielle de Packagist.<\/p>\n<p>&#8220;Compromis [the backend services] permettrait aux attaquants de forcer les utilisateurs \u00e0 t\u00e9l\u00e9charger des d\u00e9pendances logicielles d\u00e9rob\u00e9es la prochaine fois qu&#8217;ils effectueraient une nouvelle installation ou une mise \u00e0 jour d&#8217;un package Composer \u00bb, a expliqu\u00e9 Chauchefoin.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Cela dit, rien ne prouve que la vuln\u00e9rabilit\u00e9 ait \u00e9t\u00e9 exploit\u00e9e \u00e0 ce jour.  Des correctifs ont \u00e9t\u00e9 d\u00e9ploy\u00e9s dans les versions 1.10.26, 2.2.12 et 2.3.5 de Composer apr\u00e8s que SonarSource a signal\u00e9 la faille le 7 avril 2022.<\/p>\n<p>Le code open source est devenu de plus en plus une cible lucrative de choix pour les acteurs de la menace en raison de la facilit\u00e9 avec laquelle ils peuvent \u00eatre utilis\u00e9s comme armes contre la cha\u00eene d&#8217;approvisionnement des logiciels.<\/p>\n<p>Plus t\u00f4t en avril, SonarSource a \u00e9galement d\u00e9taill\u00e9 une faille de s\u00e9curit\u00e9 vieille de 15 ans dans le r\u00e9f\u00e9rentiel PHP PEAR qui pourrait permettre \u00e0 un attaquant d&#8217;obtenir un acc\u00e8s non autoris\u00e9, de publier des packages malveillants et d&#8217;ex\u00e9cuter du code arbitraire.<\/p>\n<p>&#8220;Bien que les cha\u00eenes d&#8217;approvisionnement puissent prendre diff\u00e9rentes formes, l&#8217;une d&#8217;entre elles a beaucoup plus d&#8217;impact\u00a0: en acc\u00e9dant aux serveurs distribuant ces composants logiciels tiers, les pirates peuvent les modifier pour prendre pied dans les syst\u00e8mes de leurs utilisateurs&#8221;, a d\u00e9clar\u00e9 Chauchefoin. .<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/researchers-report-supply-chain.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs ont r\u00e9v\u00e9l\u00e9 des d\u00e9tails sur une faille de s\u00e9curit\u00e9 de haute gravit\u00e9 d\u00e9sormais corrig\u00e9e dans Packagist, un r\u00e9f\u00e9rentiel de packages logiciels PHP, qui aurait pu \u00eatre exploit\u00e9e pour monter des attaques de cha\u00eene d&#8217;approvisionnement logicielle. &#8220;Cette vuln\u00e9rabilit\u00e9 permet de prendre le contr\u00f4le de Emballeur&#8220;, Thomas Chauchefoin, chercheur \u00e0 SonarSource a dit dans un [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":397627,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2953,12848,4168,4158,4165,4161,429,3242,133,4157,4159,4171,4170,4167,4160,4163,4162,114290,41463,7308,4172,4169,27904,196,4166,3667,4164],"class_list":["post-397625","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chaine","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-dapprovisionnement","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-packagist","tag-php","tag-referentiel","tag-securite-informatique","tag-securite-internet","tag-signalent","tag-une","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/397625","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=397625"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/397625\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/397627"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=397625"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=397625"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=397625"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}