par Un compte anonyme caché derrière le pseudo « bikini » a déposé sur GitHub un dépôt rempli de codes d’attaque visant des failles jamais corrigées, sans avertir le moindre éditeur concerné. Le tout baptisé « exploitarium », avec une certaine fierté.
Le dépôt rassemblait environ 130 démonstrations d’attaque fonctionnelles, ce qu’on appelle des proof-of-concept : des bouts de code qui prouvent noir sur blanc qu’une faille est exploitable. Le tout réparti sur une quinzaine de logiciels parmi les plus répandus.
On y croise le lecteur VLC, l’archiveur 7-Zip, l’outil de contrôle à distance AnyDesk, OpenVPN, ou encore Gitea, cette plateforme open source qui permet d’héberger son propre code chez soi comme on le ferait sur GitHub.
Publié le 23 juin, le dépôt a grimpé en quelques jours à la cinquième place de Hacker News avec plus de 700 votes, avant d’être supprimé par GitHub. Sauf que voilà, les copies circulaient déjà ailleurs, et le code reste accessible à qui sait où chercher.
Dans le lot, deux failles sortent du rang, car des chercheurs indépendants les ont vérifiées et observent déjà des attaques en cours. La première, notée 9,2 sur 10 en gravité, touche libssh2, une brique logicielle qui gère les connexions sécurisées SSH dans une foule d’applications. Un pirate peut y exécuter son propre code à distance avant même de s’être identifié, le pire scénario possible.
Pour comprendre l’envers du décor, du côté de ceux qui cherchent les failles pour mieux les corriger :
Sécurité informatique – Ethical Hacking (ENI) → voir sur Amazon
Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
La seconde vise Gitea dans son installation par défaut et laisse un visiteur non identifié se faire passer pour n’importe quel utilisateur, administrateur compris. Bonne nouvelle quand même, les correctifs existent : libssh2 a fusionné son patch et Gitea a publié une version qui colmate le trou.
Là où l’histoire dérange, c’est la méthode. Bikini n’a contacté personne avant de tout publier, privant les éditeurs du délai habituel pour corriger en silence avant que pirates et grand public ne tombent sur la faille. Son message donne le ton : « reportez-les vous-mêmes et prenez le crédit du CVE si on vous en attribue un, lulz ».
Autre détail qui agace les professionnels, une grosse partie de ce catalogue a été pondue par une intelligence artificielle. Bikini dit avoir automatisé toute sa chasse aux bugs avec un modèle de langage, et plusieurs ingénieurs estiment que beaucoup de ces prétendues découvertes ne sont que du bruit recraché par la machine, maquillé en alerte rouge. Résultat, les équipes doivent tout vérifier à la main pour séparer les vraies bombes des faux positifs.
Publier des armes sans prévenir personne, planqué derrière un pseudo et une IA, ce n’est pas de la recherche en sécurité. C’est juste mettre le feu et regarder.
Crédit photo : Illustration générée par IA
