{"id":411940,"date":"2022-10-13T13:45:27","date_gmt":"2022-10-13T15:45:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-nouvelle-attaque-de-synchronisation-contre-lapi-de-registre-npm-pourrait-exposer-des-packages-prives\/"},"modified":"2022-10-13T13:45:30","modified_gmt":"2022-10-13T15:45:30","slug":"une-nouvelle-attaque-de-synchronisation-contre-lapi-de-registre-npm-pourrait-exposer-des-packages-prives","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-nouvelle-attaque-de-synchronisation-contre-lapi-de-registre-npm-pourrait-exposer-des-packages-prives\/","title":{"rendered":"Une nouvelle attaque de synchronisation contre l&#8217;API de registre NPM pourrait exposer des packages priv\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une nouvelle attaque de synchronisation d\u00e9couverte contre l&#8217;API de registre de npm peut \u00eatre exploit\u00e9e pour divulguer potentiellement des packages priv\u00e9s utilis\u00e9s par des organisations, exposant les d\u00e9veloppeurs \u00e0 des menaces de cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>&#8220;En cr\u00e9ant une liste de noms de packages possibles, les pirates peuvent d\u00e9tecter les organisations&#8221; <a rel=\"nofollow noopener\" href=\"https:\/\/docs.npmjs.com\/about-scopes\" target=\"_blank\">forfaits priv\u00e9s d\u00e9limit\u00e9s<\/a> puis d\u00e9guiser des packages publics, incitant les employ\u00e9s et les utilisateurs \u00e0 les t\u00e9l\u00e9charger \u00bb, a d\u00e9clar\u00e9 le chercheur d&#8217;Aqua Security, Yakir Kadkoda. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/private-packages-disclosed-via-timing-attack-on-npm\" target=\"_blank\">a dit<\/a>.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>L&#8217;attaque Scoped Confusion mise sur l&#8217;analyse du temps qu&#8217;il faut pour <a rel=\"nofollow noopener\" href=\"https:\/\/docs.npmjs.com\/cli\/v8\/using-npm\/registry\" target=\"_blank\">API npm<\/a> (registre.npmjs[.]org) pour renvoyer un message d&#8217;erreur HTTP 404 lors de la requ\u00eate d&#8217;un package priv\u00e9 et le mesurer par rapport au temps de r\u00e9ponse d&#8217;un module inexistant.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Forfaits MNP priv\u00e9s\" border=\"0\" data-original-height=\"319\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1665675925_859_Une-nouvelle-attaque-de-synchronisation-contre-lAPI-de-registre-NPM.jpg\" title=\"Forfaits MNP priv\u00e9s\" \/><\/div>\n<p>&#8220;Il faut en moyenne moins de temps pour obtenir une r\u00e9ponse pour un package priv\u00e9 qui n&#8217;existe pas par rapport \u00e0 un package priv\u00e9 qui existe&#8221;, a expliqu\u00e9 Kadkoda.<\/p>\n<p>L&#8217;id\u00e9e, en fin de compte, est d&#8217;identifier les packages utilis\u00e9s en interne par les entreprises, qui pourraient ensuite \u00eatre utilis\u00e9s par les acteurs de la menace pour cr\u00e9er des versions publiques des m\u00eames packages dans le but d&#8217;empoisonner la cha\u00eene d&#8217;approvisionnement des logiciels.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Forfaits MNP priv\u00e9s\" border=\"0\" data-original-height=\"300\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1665675926_64_Une-nouvelle-attaque-de-synchronisation-contre-lAPI-de-registre-NPM.jpg\" title=\"Forfaits MNP priv\u00e9s\" \/><\/div>\n<p>Les derni\u00e8res d\u00e9couvertes sont \u00e9galement diff\u00e9rentes des attaques de confusion de d\u00e9pendance en ce sens qu&#8217;elles obligent l&#8217;adversaire \u00e0 deviner d&#8217;abord les packages priv\u00e9s utilis\u00e9s par une organisation, puis \u00e0 publier de faux packages portant le m\u00eame nom sous la port\u00e9e publique.<\/p>\n<p>Confusion de d\u00e9pendance (alias <a rel=\"nofollow noopener\" href=\"https:\/\/checkmarx.com\/blog\/new-technique-used-by-attackers-in-npm-to-avoid-detection\/\" target=\"_blank\">confusion d&#8217;espace de noms<\/a>), en revanche, repose sur le fait que les gestionnaires de packages v\u00e9rifient les registres de code publics pour un package avant les registres priv\u00e9s, ce qui entra\u00eene la r\u00e9cup\u00e9ration d&#8217;un package malveillant de version sup\u00e9rieure \u00e0 partir du r\u00e9f\u00e9rentiel public.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Aqua Security a d\u00e9clar\u00e9 avoir divulgu\u00e9 le bogue \u00e0 GitHub le 8 mars 2022, incitant la filiale appartenant \u00e0 Microsoft \u00e0 r\u00e9pondre que l&#8217;attaque temporelle ne sera pas corrig\u00e9e en raison de limitations architecturales.<\/p>\n<p>\u00c0 titre pr\u00e9ventif, il est recommand\u00e9 aux organisations d&#8217;analyser r\u00e9guli\u00e8rement npm et d&#8217;autres plates-formes de gestion de packages \u00e0 la recherche de packages similaires ou usurp\u00e9s qui se font passer pour des homologues internes.<\/p>\n<p>&#8220;Si vous ne trouvez pas de packages publics similaires \u00e0 vos packages internes, envisagez de cr\u00e9er des packages publics en tant qu&#8217;espaces r\u00e9serv\u00e9s pour emp\u00eacher de telles attaques&#8221;, a d\u00e9clar\u00e9 Kadkoda.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/new-timing-attack-against-npm-registry.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une nouvelle attaque de synchronisation d\u00e9couverte contre l&#8217;API de registre de npm peut \u00eatre exploit\u00e9e pour divulguer potentiellement des packages priv\u00e9s utilis\u00e9s par des organisations, exposant les d\u00e9veloppeurs \u00e0 des menaces de cha\u00eene d&#8217;approvisionnement. &#8220;En cr\u00e9ant une liste de noms de packages possibles, les pirates peuvent d\u00e9tecter les organisations&#8221; forfaits priv\u00e9s d\u00e9limit\u00e9s puis d\u00e9guiser des [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":411941,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1933,4168,841,4158,4165,4161,133,42040,4157,4159,4171,4170,10786,4167,4160,197,4163,4162,7310,7309,2102,15437,26915,4172,4169,116463,196,4166,4164],"class_list":["post-411940","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaque","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-exposer","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lapi","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-npm","tag-packages","tag-pourrait","tag-prives","tag-registre","tag-securite-informatique","tag-securite-internet","tag-synchronisation","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/411940","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=411940"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/411940\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/411941"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=411940"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=411940"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=411940"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}