Le site de la distribution Linux Mint a été piraté à deux reprises dans la journée du 20 février. Une version particulière de la distribution a été infectée avec une porte dérobée et distribuée pendant quelques heures. La situation est revenue depuis à la normale.
Les attaques contre les sites ont beau se multiplier, elles concernent en grande majorité des produits commerciaux capables d’attirer des millions d’utilisateurs. Les projets libres sont davantage épargnés, ce qui ne signifie pas pour autant qu’ils soient à l’abri. Preuve en est l’attaque contre Linux Mint, une distribution populaire et basée sur Ubuntu, qui prépare actuellement sa version 18 – « Sarah » - pour mai ou juin prochain.
Des liens vers des images ISO infectées
Dans la nuit de vendredi à samedi, des pirates ont attaqué le site officiel de Linux Mint et sont parvenus à s’insérer dans le serveur principal. De là, ils ont pu changer le lien de téléchargement direct pour Linux Mint 17.3 Cinnamon Edition, la variante la plus téléchargée du système. Cinnamon est un environnement graphique très largement inspiré de GNOME 2.X et créé pour contenter ceux qui n’appréciaient pas la direction prise par la version suivante.
Le nouveau lien pointait vers une version vérolée de Linux Mint, stockée sur un serveur FTP en Bulgarie. Dans le système se trouvait Tsunami, un cheval de Troie contenant une porte dérobée pilotable par des commandes IRC. Le lien est resté actif quelques heures avant que les administrateurs du site ne se rendent compte de l’intrusion. Tous ceux qui ont récupéré l’ISO de la distribution en direct avant le 20 février ne sont donc pas concernés, pas plus que ceux qui l’ont récupérée par BitTorrent. Idem pour toutes les autres variantes de Linux Mint.
Une brèche qui n'a toujours pas été trouvée
Pour autant, les administrateurs ne se sont pas débarrassés tout de suite du problème. Ils ont bien remis les bons liens sur le site, mais les pirates ont réussi à revenir une deuxième fois, prouvant que le point d’entrée n’avait pas été trouvé. L’équipe de Linux Mint, redoutant que le problème ne se propage trop rapidement auprès des utilisateurs, a donc mis hors ligne le site et a publié hier un billet explicatif pour préciser à la communauté ce qu'il s’était passé.
À l’heure où nous écrivons ces lignes, le site officiel de la distribution n’est toujours pas revenu en ligne. Les administrateurs travaillent donc encore sur la sécurité, pour trouver comment les pirates ont pu s’introduire. Dans leur billet explicatif, ils invitent les utilisateurs à vérifier les signatures des fichiers ISO, car il en existe au total cinq variantes : 32 bits, 64 bits, 32 bits sans codecs, 64 bits sans codecs et OEM 64 Bits.
Se débarrasser au plus vite de tout système déjà installé
L’équipe recommande également de se débarrasser de l’image ISO téléchargée s’il s’agit d’une version frelatée, de jeter tout DVD qui aurait été gravé avec le système et de formater toute clé USB préparée depuis cette mouture. Dans le cas d’une installation déjà effectuée, elle enjoint les utilisateurs à déconnecter l’ordinateur d’Internet, mettre les documents de côté et formater avec une image propre. En l’état, il est urgent d’arrêter au plus vite d’utiliser un tel système.
Linux Mint indique en outre disposer de quelques informations sur la source de l’attaque, avec notamment les noms de trois personnes qui pourraient être impliquées. Curieusement, l’équipe n’a pas déposé encore plainte : « Ce que nous ignorons, ce sont les raisons de cette attaque. Si des efforts supplémentaires sont faits pour attaquer notre projet et si la raison est de nous faire du mal, nous nous mettrons en contact avec les autorités et les sociétés de sécurité pour confronter les personnes derrière tout ça. »
Commentaires (260)
comme quoi ça sert de vérifier les signatures. ^^
Et pour la BDD utilisateurs du forum, pas de confirmation de hack? Pas de changement de mot passe encouragé?
ah ben oui mais faut aussi pas stocker la signature au même endroit. ^^
je sais pas si c’est le cas chez Mint.
et pour une personne lambda … :/ mouai à la Linuxienne quoi
(oui j’utilise aussi linux…)
Si seulement c’était le seul problème de Mint. Vous je sais pas, mais je crois que je vais en rester à distance pour quelque temps et essayer de trouver une autre distro où Cinnamon est dispo.
Encore un coup de Microsoft ca.
" />
" />
En effet on sait tous que 2016 est L’année ou linux va conquérir le monde des PC et Microsoft en est réduit à pirater les serveurs et infecter les distributions.
Ridicules
bon ben la prochaine fois, je vérifie la signature :o
savais pas qu’une distrib linux pouvait être victime de ce genre de saleté
" />
" />
bref comme toujours, faire attention, vérifier.. mais là sur le site officiel, pas facile de se méfier
La vérification des signatures: Rien que ça une bonne raison d’utiliser les torrents ?
S’ils ont réussi à modifier les isos sur les serveurs de téléchargement, on peut raisonnablement supposer qu’ils ont aussi pu modifier les MD5/SHA-1 affichés sur le site.
Donc vérifier les hashs (et non pas les signatures !), c’est utile si elles ne correspondent pas, mais si elles correspondent tu n’es pas plus avancé.
Par contre, un système de téléchargement avec signature, ça ça serait top, en gros leur clé publique est dispo chez un éditeur tiers de confiance et il est possible de vérifier que les fichiers viennent bien du bon éditeur. Mais plus compliqué à mettre en place pour le premier téléchargement de l’iso…
Si ton .torrent vient d’une mauvaise source, ça ne changera rien au problème.
warning,
" />
“Une brèche qui n’a toujours pas été trouvée”
A tout les coups leurs serveurs sont sous Linux…
Mageia mon ami ! En plus Cocorico c’est une association Française derrière le projet.
(d’où mon «?»)
Autrement dit, faut commencer par aller chercher la signature en s’assurant soigneusement qu’elle est la bonne.
Le mécanisme des clés publiques/privées pour signer existe déjà et est très fiable. Ils fournissent une clé publique (que tu peux éventuellement vérifier auprès d’un tiers de confiance), et leur clé privé sert à signer le fichier téléchargé.
Comme ça même si le fichier vient d’un site externe, tu peux t’assurer qu’il a bien été généré par l’éditeur de Mint. (Sauf si, bien sûr, leur clé privée est compromise, auquel cas il suffit de révoquer la clé publique et d’en générer une nouvelle).
C’est tout le principe des certificats pour le HTTPs et on l’utilise depuis bien longtemps. Il faudrait peut être passer à un système similaire pour les téléchargements.
tu peux résumé stp ?
merci :)
c’est quand même une “infection open source”, les sources du trojan sont sur github
" />
Je fais plutôt partie de la tribu des apt-get, m’enfin ça sera l’occasion de tester d’autres trucs que les dérivés de Debian. Je crois que je vais tester Fedora et Mageia
" />
Et en distro michu-ready / légère tu recommande quoi à la place de Mint ? J’ai installé ça à mes parents ils sont ravis (sur mon vieil e-pc tout pourri donc je peux pas mettre une distro trop lourde)
Les mauvaises pratiques de Mint :
Pour les anglophones, un sujet sur Reddit apporte quelques précisions
Ubuntu MATE, non ? C’est MATE, donc pas forcément sexy, mais c’est simple et ça marche.
Linux infecté ? hahaha
J’ai installé Xubuntu sur le PC portable de 2007 de ma mère, ça tourne au poil et elle n’a pas eu à s’en plaindre jusqu’à présent.
Ben oui, ça arrive à tout le monde ce genre de merde.
Après, j’espère qu’ils vont colmater la brèche rapidement, j’aime beaucoup Linux Mint pour son côté pratique, facile et rapide à installer sur des machines secondaires sur lesquelles je n’ai pas envie de me casser la tête à mettre une Fedora.
@la rédac : Par contre, vous, vous être très réactifs sur certaines infections à ce que j’ai vu. Bien vu, continuez comme ça !
Lubuntu.
Sinon en ultralight Puppy Linux, mais c’est moins friendly
c’est quoi cette histoire d’infection?
Perso j’ai installé Lubuntu pour mes parents.
Le plus c’est que ça ressemble beaucoup à Windows (menu en bas à gauche un peu à la windows XP/7).
Le moins c’est que ce n’est pas aussi jolie que Xubuntu/LinuxMint.
Le pc à un processeur pentium 4 et 1go de ram mais il tourne sans problème.
J’ai toujours vu les signatures des ISO à coté des liens de téléchargements de ces mêmes ISO donc en cas de piratage je ne suis sûr que la vérification soit pertinente.
Pour ma part je la vérifie uniquement quand un truck louche c’est produit lors du téléchargement pour m’assurer que j’ai bien le fichier en entier mais ça ne va pas plus loin.
c’est la distrib de Jean-Claude Killy c’est ça?
" />
Et l’iso
Ouf j’avais pris la version avec KDE
" />
Il y aura toujours des linuxiens totalement dans le déni le plus total et sélectionneront toujours les infos qui les arrangent seulement.
un mal pour un bien.
peut être que ça permettra de mettre en place un système de signature dans les téléchargements.
Changer le hash pour le faire correspondre a l’iso vérolé est facile, mais pour changer une signature, il en est tout autrement.
on peux très bien imaginer un firefox qui télécharge aussi un fichier asc pour verifier la signature du fichier.
après tout.. c’est bien comme cela que ca fonctionne pour apt
sur qu’un système fermé est exempt de faille … putain serieux stop le troll de bas étage…
C’est pas du tout ce qu’il dit, en plus je pense que c’est de l’humour.
Clément Lefèbvre, qui a publié le billet explicatif, pense que l’intrusion a été rendue possible par Wordpress. Il était pourtant à jour et sans plugins. Ce n’est qu’à moitié étonnant.
Il dit aussi réfléchir à prendre plusieurs serveurs au lieu d’un, ce qui permet de limiter les dégâts en cas d’intrusion.
En tous cas il est très transparent sur le sujet et parle sans langue de bois, c’est appréciable.
All forums users should change their passwords
It was confirmed that the forums database was compromised during the attack led against us yesterday and that the attackers acquired a copy of it. If you have an account on forums.linuxmint.com, please change your password on all sensitive websites as soon as possible…
http://blog.linuxmint.com/?p=3001
Je suis à peu près certain de pouvoir te générer un .torrent vérolé.
Non mais vérifier après coup lorsqu’ils ont donné les md5s sur leur blog, c’est effectivement important. Mais vérifier avec les md5s affichés sur leur site au moment où on télécharge, ça n’a strictement aucun intérêt si le site a été infecté.
Disons qu’il serait peut être intéressant de réfléchir à une norme qui permet de télécharger un fichier tout en s’assurant de son origine et de son intégrité. Il en existe peut-être déjà une remarque, mais elle n’est pas utilisée.
Détend toi, c’était juste une connerie couplée à un petit missile à destination de ceux qui tiennent réellement ce discours
" />
c’est etonnant de voir que peu de monde vérifie une signature, c’est toujours l’occasion de réviser man md5sum :) et d’avoir le plaisir de constater que ces pages man c’est vraiment de la balle !
concernant gpg et les signatures -> même topo
peut etre les fraichement converti habitué a télécharger tout et n’importe quoi pour leur ex windows ? lorsque je suis obligé de le faire pour windows, j’en suis presque malade que PERSONNE ne propose une signature de leur setup.exe
pardon suis un poil tendu des fois
" />
Ben oui, rien qu’à voir tes yeux, on se doute qu’il y a quelque chose qui s’est mal passé dans ta journée.
" /> 
" />
Prends un kiss cool ou un fuca, enjoy!
Je te prête mes poils si tu veux
ça change quoi ?
si le MD5 a été lui aussi été changé ????
Note : je trouve cela vraiment bas de torpiller un site comme linux mint , c’est une association avec des bénévoles qui font une superbe distrib !
Alors pourquoi ?
L’être humain est parfois une vraie merde.
On dirait un règlement de compte d’après les éléments de l’article… bizarre cette histoire.
“Un hashcode garantie l’intégrité mais pas l’authenticité.”
Citation de Benjamin Franklin.
MD5 de la citation: 6172CF1A252A75C90054847EE40E1CE0
je parlais uniquement de sécurité en l’occurrence.
Oui certes Linux est le noyau mais moi j’entendais bien par système d’exploitation (L’ISO qu’on parle dans l’article pour moi, est le système d’exploitation à installer sur une machine, à moins qu’on m’ait menti ?). Faut pas avoir fait un bac + 10 pour comprendre un minimum.
On nous sort que ce n’est pas possible de l’infecter à longueur de journée et je me souviens encore les années ou ça se moquait de Windows tous les jours et ça se vantait à tout va que mon système n’a pas besoin de ci, pas besoin de ça, il est supra sécurisé, trololol tu utilises un antivirus, trololol encore des mises à jour, etc…
Bref, ce que je dis, est que même les OS à base de Linux ne sont pas à l’abri. D’où ma façon de me moquer gentiment.
Excellent!
On est probablement d’accord, on ne parle juste pas de la même chose alors :)
Pour moi télécharger une distribution en direct ou via un .torrent sur le site de l’éditeur, c’est aussi risqué l’un que l’autre si le site a été infecté. Je crois comprendre que ce que tu dis, c’est qu’on ne peut pas infecter l’iso en ayant un client torrent qui envoie n’importe quoi aux autres pairs, ce qui est vrai.
ça fait du bien
" />
Epurée et minimaliste, sans nulle doute la plus belle 13e page de commentaires jamais vu sur NXI.
penses-tu il y en a eux des bien plus épurées que cela des triples pages même sur des news Windows, petites joueuses les news linux à côté
" />
edit : bref c’est quand même inquiétant tout cela qu’ils arrivent toujours pas à trouver où est cette faille, il est toujours pas revenu en ligne le site à cette heure-ci?
ben ça change que j’ai effectué une vérification au lieu de rien faire.
et je parle de la signature, pas du hash MD5 affiché sur le site.
Il vaut mieux que le site reste fermé tant qu’ils ne sont pas sûrs d’avoir réparé le problème, afin d’éviter qu’il se reproduise.
S’ils rouvraient à la va-vite et se faisaient re-pirater derrière, ça serait pire…
ouh mais dis donc y’a eu du hachage en règle là !!^^
http://blog.linuxmint.com/?p=3001#comment-125705 #popcorn
mais utiliser Wordpress quand même, ça dénote tout de même d’un certain amateurisme ou d’un amateurisme certain vous me direz pas franchement
" />
BON! Après 15 pages de commentaires je peux enfin répondre à une question posée plus tôt : l’ordre de grandeur de l’infection n’est que de 500 machines
(source :http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-… )
C’est en parti grâce à la réactivité de Lefvrevre puisque l’image vérolée n’est restée dispo que le 20.
Ensuite crier à la vulnérabilité de Linux car des mecs ont fait un repack de Mint avec une backdoor c’est comme crier à la faille Facebook parce que t’as téléchargé l’appli sur black market : c’est con.
Pour moi les mecs qui ont fait ça sont loin d’être des cadors ; ils ont laissés des traces, avouent qu’ils n’ont fait ça dans aucun but précis, donnent une interview parce que ça les fait bander qu’on parle d’eux et last but not least ils administrent les zombies par IRC (ce qui est, à mon humble avis, un truc d’amateur)
C’est marrant de voir plein de gens parler de vérifier un “hash MD5” pour vérifier l’intégrité contre un attaquant potentiel. Ça fait des années que MD5 n’est plus considéré comme cryptographiquement sûr, parce qu’il est possible de forger des collisions. Même sha1 est maintenant délaissé sur les certificats x509, alors MD5…
J’ai eu des blocages heuristiques (spy / fraud) surhttp://isoredirect.centos.org/centos/7/isos/x86_64/CentOS-7-x86_64-DVD-1511.iso hier ; à première vue je dirais aucun rapport, ou alors ce serait certaines adresses de miroirs bloquées simplement sur base du nom d’hôte ?
touché :)
Faut dire, j’ai beaucoup de peine de booter certaines distributions linux sous virtualbox (xubuntu passe mais pas kubuntu, et l’année suivante c’est l’inverse), et sans que je trouve de cause particulière.
Ah ! Effectivement j’avais passé ton lien à la trappe mais ça me convient plus comme analyse.
Qu’est ce que certains sites ne feraient pas pour du clic, ça en devient effarant …
Je suis curieux de savoir si quelqu’un possède une version de cet ISO vérolé ? For Research Purpose
Désolé de ne pas comprendre ISO verolé comme un site piraté…
Le plus problématique c’est que certains vont croire que leur Mint est infecté (à tort) et cela risque de leur faire perdre des users …
Debian testing c’est cool, sauf quand le cycle de dev s’approche de la stable suivante. A ce moment là, c’est le freeze des devs pendant un bon paquet de mois. C’est à cause de ça que j’étais passé à Ubuntu.
Après, je reste convaincu que Mint aurait du en rester à bosser uniquement sur le DE parce que créer et maintenir une distribution de cette envergure, même si c’est une version customisée de Ubuntu, ça demande une véritable équipe derrière, notamment une “Security Team”
quand tu graves une iso, avec brasero, tu peux lui de vérifier le hash.
Les mecs font un OS, ce ne sont pas des dev web…
Ils ont trois noms, ne veulent pas déposer plainte, le site ce fait hacker 2 fois…
De plus quel intérêt il y a vérolé les isos, si ce n’est jeter le discrédit sur une distro de bureau montante.
Il y a un autre élément qui m’interpelle, pourquoi renvoyer vers de isos vérolées sans modifier les signatures qui leur sont associée ?
Encore un complot judéo-maçonnique
" /> Ce bon vieux débat trollesque sur les sociétés qui ne veulent “que du mal” à Linux
Il faut sortir de ta boucle, Konrad.
Encore une fois, ça montre qu’ils sont du niveau de la grosse quiche question sécu et, pour réagir aux derniers propos, je ne vois même pas en quoi LM peut être recommandable pour Mme Michu qui a justement besoin d’être épaulée par plus compétent qu’elle.
Peu importe pour Mme Michu que ce soit brouillon question libre non-libre du moment que ses mp3 marchent, on est d’accord. Par contre, dépendre d’une distrib conçue par des amateurs (au sens péjoratif pour certains points) incapables d’assurer ni diffusion ni suivi corrects de leur système, c’est un peu chaud pour les miches à Michu, d’autant qu’elle n’en n’aura pas conscience et n’aura donc aucune réaction.
Non seulement elle croira son pc à l’abri “parce que c’est linux” mais en plus elle sera un joli vecteur à m3rdes.
Qu’a prévu LM pour la-machine-à-Michu installée avec une iso corrompue par neveu Kevin ?
Moi j’utilise LMDE (Linux Mint Debian Edition). Moins “risquée” que la version basée sur Ubuntu tout en bénéficiant plus rapidement que Debian des petits ajouts sympathiques qui me simplifie la vie (du genre les falsh et consorts, parce que ranafout’ des lubies libristes jusqu’auboutiste).
Si Debian proposait ces améliorations facilement (et sans une phase de test de 36 ans), j’utiliserais Debian.
Mais ce n’est ni le but, ni la philosophie de Debian. Et ce n’est pas forcément une critique.
Sinon, je viens de découvrir ça
" />
Debian testing, c’est la next stable. Mais en fait ils ont deux parties bien distinctes dans leur cycle de dev : le dev et le feature freeze. Pendant le dev, ils font régulièrement des promotions de paquets unstable vers testing. Pendant le feature freeze, ils bloquent toutes les évolutions pour stabiliser.
J’ai pas été tout à fait exhaustif dans mes raisons qui me font éviter debian testing :
En fait, il n’y a à mon sens ni l’avantage d’un bleeding edge à la debian unstable, gentoo ou arch, ni l’avantage des rolling releases fréquentes avec paquets cohérents à la Ubuntu.
Il y en a parmi vous qui oublie que Sony a eu des problèmes de ce genre et même pire, il y a quelque temps (je ne savais pas que c’était aussi des amateurs)
" />
" />
merci
" />
Y a t il un soupçon de faille dans Wordpress ?
Ça existe, ça s’appelle Debian.
" />