On savait que les modèles d'IA savaient écrire du code, on découvre cette année, de plus en plus qu'ils savent aussi le casser à une échelle qui dépasse l'entendement, et le projet fwupd vient d'en faire les frais d'une manière assez spectaculaire avec sa version 2.0.21, qui rattrape à elle seule plus de 250 problèmes de sécurité potentiels détectés sur les trois derniers mois, par des scanners de vulnérabilités pilotés par l'intelligence artificielle.

Derrière cette vague de correctifs, il y a surtout Mythos, le modèle développé par Anthropic, retiré depuis sur ordre des autorités américaines, et entraîné spécifiquement pour fouiller du code à la recherche de failles exploitables. Et les chiffres de son programme baptisé Project Glasswing donnent le vertige, puisqu'en passant au peigne fin plus de 1000 projets open source, Mythos a pointé environ 23 000 vulnérabilités potentielles, dont près de 1700 ont déjà été confirmées par des sociétés de sécurité externes et plus de 1000 classées graves ou critiques.

fwupd, c'est justement l'un de ces projets passés au crible. Pour rappel, ce logiciel libre est la brique qui s'occupe de mettre à jour le firmware de vos machines sous Linux (le firmware, c'est le petit programme gravé au plus près du matériel, dans la carte mère ou le SSD, et qui démarre avant même le système d'exploitation). Il alimente le LVFS (Linux Vendor Firmware Service), une sorte de magasin centralisé où les fabricants déposent leurs mises à jour, et d'où des millions de PC sous Linux viennent piocher de quoi se mettre à niveau sans bricoler dans le BIOS.

C'est Richard Hughes, le développeur de Red Hat qui pilote fwupd depuis des années, qui a fait le ménage. La 2.0.21 n'apporte volontairement aucune fonctionnalité nouvelle, puisque Hughes s'est contenté de rapatrier les correctifs déjà passés dans la branche récente 2.1.x vers la vieille branche 2.0.x, celle sur laquelle restent accrochées les distributions stables qui n'aiment pas changer de version dans leurs dépôts officiels, du genre Debian ou les déclinaisons pensées pour l'entreprise. Du coup, même les serveurs et les postes figés sur du logiciel volontairement ancien profitent du nettoyage.

Alors il faut quand même relativiser. Sur ces 250 problèmes, on parle de soucis potentiels, pas de portes grandes ouvertes activement exploitées par des pirates, et une bonne partie ne serait sans doute jamais devenue une vraie attaque dans la nature. Sauf que voilà, fwupd est un composant qui s'exécute avec les pleins pouvoirs (root) et qui avale des fichiers de firmware fournis par des tiers. Un bug dans sa façon de lire ces fichiers, et c'est potentiellement la machine entière qui tombe, voire un firmware vérolé qui finit gravé dans le matériel, là où aucun antivirus ne va jamais regarder.

(Mise à jour : au passage j'avais conclu n'importe quoi dans la précédente version de l'article, puisque j'avais écrit que les failles étaient dans le firmware, ce qui est bien sûr une erreur, merci au lecteur qui nous l'a fait remarquer !)

Source : Phoronix

Neuf failles de sécurité viennent d'être corrigées d'un coup sur le serveur X.Org, le vieux logiciel qui dessine les fenêtres, gère la souris et le clavier sur une grande partie des machines Linux. Et le plus marquant, c'est qui les a trouvées.

Huit des neuf ont été repérées par une intelligence artificielle. Plus précisément par TrendAI, l'outil maison du programme de chasse aux bugs de l'éditeur de sécurité Trend Micro, la Zero Day Initiative, qui rémunère depuis des années la découverte de failles. La neuvième, elle, a été dénichée à l'ancienne par Peter Hutterer, un développeur de Red Hat qui travaille sur la gestion clavier et souris de X.Org depuis bien longtemps.

Dans le lot, on retrouve surtout deux familles de problèmes bien connues. Des dépassements de mémoire tampon d'abord, où le programme écrit plus de données que prévu dans une case mémoire et le surplus déborde sur le code voisin. Et des "use-after-free" ensuite.

Ce dernier type est vicieux : le logiciel continue d'utiliser un bout de mémoire qu'il a pourtant déjà rendu au système, ce qui permet à un attaquant de glisser son propre code à la place. Trois des neuf failles tombent dans cette catégorie, planquées dans le composant qui synchronise l'affichage.

Le reste touche un peu partout : la gestion du clavier, les alias de polices, la couche graphique 3D, l'économiseur d'écran et le sous-système qui parle directement à la carte graphique, autant de morceaux qu'un programme malveillant déjà présent sur la machine pourrait détourner pour s'octroyer plus de droits que prévu ou aller lire de la mémoire qui ne le regarde pas.

Les correctifs sont déjà là. X.Org a sorti du coup les versions 21.1.23 du serveur et 24.1.12 de XWayland, la passerelle qui fait tourner les vieilles applications X.Org sur les bureaux Wayland modernes. Si vous êtes sur Linux, la mise à jour s'impose.

Côté historique, ça fait plus de dix ans que la sécurité de X.Org traîne une sale réputation. Un chercheur avait résumé l'affaire d'une formule restée célèbre : c'est pire que ça en a l'air. Le code est vieux, tentaculaire, et personne n'a vraiment envie de le réécrire.

Ce qui change cette fois, c'est la méthode. Lâcher une IA sur une base de code aussi ancienne, c'est un peu comme passer un détecteur de métaux sur une plage que personne n'a jamais ratissée : elle remonte des objets que plus personne n'avait le courage d'aller chercher à la main. Et X.Org n'est pas un cas isolé, le noyau Linux voit lui aussi défiler les failles à bon rythme.

Bref, si les IA se mettent à éplucher tout le vieux code de l'open-source, on n'a pas fini d'en voir passer cet été. Tant mieux qu'elles soient dans notre camp.

Source : Phoronix