{"id":539365,"date":"2023-01-02T13:50:24","date_gmt":"2023-01-02T15:50:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/pytorch-machine-learning-framework-compromis-par-une-dependance-malveillante\/"},"modified":"2023-01-02T13:50:25","modified_gmt":"2023-01-02T15:50:25","slug":"pytorch-machine-learning-framework-compromis-par-une-dependance-malveillante","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/pytorch-machine-learning-framework-compromis-par-une-dependance-malveillante\/","title":{"rendered":"PyTorch Machine Learning Framework compromis par une d\u00e9pendance malveillante"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cha\u00eene d&#8217;approvisionnement \/ Apprentissage automatique<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les mainteneurs du package PyTorch ont averti les utilisateurs qui ont install\u00e9 les versions nocturnes de la biblioth\u00e8que entre le 25 d\u00e9cembre 2022 et le 30 d\u00e9cembre 2022 de d\u00e9sinstaller et de t\u00e9l\u00e9charger les derni\u00e8res versions suite \u00e0 une attaque de confusion de d\u00e9pendance.<\/p>\n<p>&#8220;Les packages Linux PyTorch-nightly install\u00e9s via pip pendant cette p\u00e9riode ont install\u00e9 une d\u00e9pendance, <strong>torchtriton<\/strong>qui a \u00e9t\u00e9 compromis sur le r\u00e9f\u00e9rentiel de code Python Package Index (PyPI) et a ex\u00e9cut\u00e9 un binaire malveillant \u00bb, l&#8217;\u00e9quipe PyTorch <a rel=\"nofollow noopener\" href=\"https:\/\/pytorch.org\/blog\/compromised-nightly-dependency\/#how-to-check-if-your-python-environment-is-affected\" target=\"_blank\">m&#8217;a dit<\/a> en alerte ce week-end.<\/p>\n<p>PyTorch, analogue \u00e0 Keras et TensorFlow, est un framework d&#8217;apprentissage automatique open source bas\u00e9 sur Python qui a \u00e9t\u00e9 initialement d\u00e9velopp\u00e9 par Meta Platforms.<\/p>\n<p>L&#8217;\u00e9quipe PyTorch a d\u00e9clar\u00e9 avoir pris connaissance de la d\u00e9pendance malveillante le 30 d\u00e9cembre \u00e0 16h40 GMT.  L&#8217;attaque de la cha\u00eene d&#8217;approvisionnement impliquait le t\u00e9l\u00e9chargement d&#8217;une version malveillante d&#8217;une d\u00e9pendance l\u00e9gitime nomm\u00e9e torchtriton dans le r\u00e9f\u00e9rentiel de code Python Package Index (PyPI).<\/p>\n<p>\u00c9tant donn\u00e9 que les gestionnaires de packages comme pip v\u00e9rifient les registres de code public tels que PyPI pour un package avant les registres priv\u00e9s, cela a permis au module frauduleux d&#8217;\u00eatre install\u00e9 sur les syst\u00e8mes des utilisateurs par opposition \u00e0 la version r\u00e9elle extraite de l&#8217;index tiers.<\/p>\n<p>La version malveillante, pour sa part, est con\u00e7ue pour exfiltrer les informations syst\u00e8me, y compris les variables d&#8217;environnement, le r\u00e9pertoire de travail actuel et le nom d&#8217;h\u00f4te, en plus d&#8217;acc\u00e9der aux fichiers suivants &#8211;<\/p>\n<ul>\n<li>\/etc\/hosts<\/li>\n<li>\/etc\/passwd<\/li>\n<li>Les 1 000 premiers fichiers dans $HOME\/*<\/li>\n<li>$HOME\/.gitconfig<\/li>\n<li>$HOME\/.ssh\/*<\/li>\n<\/ul>\n<p>Dans une d\u00e9claration partag\u00e9e avec Bleeping Computer, le propri\u00e9taire du domaine auquel les donn\u00e9es vol\u00e9es ont \u00e9t\u00e9 transmises <a rel=\"nofollow noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/pytorch-discloses-malicious-dependency-chain-compromise-over-holidays\/\" target=\"_blank\">revendiqu\u00e9<\/a> cela faisait partie d&#8217;un exercice de recherche \u00e9thique et que toutes les donn\u00e9es ont depuis \u00e9t\u00e9 supprim\u00e9es.<\/p>\n<p>En guise d&#8217;att\u00e9nuation, torchtriton a \u00e9t\u00e9 supprim\u00e9 en tant que d\u00e9pendance et remplac\u00e9 par pytorch-triton.  Un paquet factice a \u00e9galement \u00e9t\u00e9 enregistr\u00e9 sur PyPI en tant qu&#8217;espace r\u00e9serv\u00e9 pour \u00e9viter d&#8217;autres abus.<\/p>\n<p>&#8220;Ce n&#8217;est pas le vrai paquet torchtriton mais t\u00e9l\u00e9charg\u00e9 ici pour d\u00e9couvrir les vuln\u00e9rabilit\u00e9s de confusion de d\u00e9pendance&#8221;, lit un <a rel=\"nofollow noopener\" href=\"https:\/\/pypi.org\/project\/torchtriton\/#history\" target=\"_blank\">message<\/a> sur la page PyPI pour torchtriton.  &#8220;Vous pouvez obtenir le vrai torchtriton sur https:\/\/download.pytorch[.]org\/whl\/nightly\/torchtriton\/.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient \u00e9galement alors que JFrog a divulgu\u00e9 les d\u00e9tails d&#8217;un autre package connu sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/jfrog.com\/blog\/pypi-malware-creators-are-starting-to-employ-anti-debug-techniques\/\" target=\"_blank\">cookiezlog<\/a> qui a \u00e9t\u00e9 observ\u00e9 en utilisant des techniques anti-d\u00e9bogage pour r\u00e9sister \u00e0 l&#8217;analyse, marquant la premi\u00e8re fois que de tels m\u00e9canismes ont \u00e9t\u00e9 incorpor\u00e9s dans les logiciels malveillants PyPI.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/pytorch-machine-learning-framework.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 janvier 2023\ue804Ravie LakshmananCha\u00eene d&#8217;approvisionnement \/ Apprentissage automatique Les mainteneurs du package PyTorch ont averti les utilisateurs qui ont install\u00e9 les versions nocturnes de la biblioth\u00e8que entre le 25 d\u00e9cembre 2022 et le 30 d\u00e9cembre 2022 de d\u00e9sinstaller et de t\u00e9l\u00e9charger les derni\u00e8res versions suite \u00e0 une attaque de confusion de d\u00e9pendance. &#8220;Les packages Linux [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":539366,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,20350,4158,4165,4161,5572,39961,4157,4159,4171,4170,131984,4167,3970,45272,4160,4163,4162,164,136384,4172,4169,196,4166,4164],"class_list":["post-539365","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-compromis","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dependance","tag-framework","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-learning","tag-logiciel-malveillant-de-ransomware","tag-machine","tag-malveillante","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-pytorch","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/539365","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=539365"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/539365\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/539366"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=539365"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=539365"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=539365"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}