La semaine dernière, la distribution Linux perdait le contrôle de son dépôt. Cette attaque s'accompagnait d'une modification des données et des pages. L'intégrité du code était alors considérée comme compromise.
Dans son rapport d'incident, l'équipe révèle que les pirates ont pu deviner le mot de passe d'un des administrateurs du dépôt. L'opération aurait été rendu possible par l'utilisation d'un autre mot de passe, très proche, sur un site tiers, récupéré avant par les pirates.
Ce que révèle le rapport finalement, c'est une succession d'erreurs. L'utilisation de mots de passe identiques ou très proches sur plusieurs sites, l'absence d'authentification à deux facteurs sur GitHub, l'absence de sauvegarde de certaines données ou encore le stockage direct du dépôt systemd sur GitHub.
Mais en dépit de ces erreurs, il n'aura fallu que 70 minutes pour que les développeurs récupèrent leur compte. Pourquoi ? Parce que les pirates ont déclenché une attaque violente, donc très visible, bloquant notamment l'accès aux développeurs.
Cette vague de blocage a déclenché une alerte dans les système de GitHub pour comportement suspicieux. Les développeurs ont reçu des emails et ont fait valoir leurs droits.
Le gros des données de la distribution est intacte, car stocké sur les propres infrastructures des développeurs, avec un mirroring sur GitHub. Les clés privées du compte sont également épargnées.
L'équipe ajoute (bien sûr) que tout sera fait pour ne pas revivre l'incident : sauvegardes plus fréquentes, authentification (matérielle) à deux facteurs, partage des informations avec les utilisateurs ou encore renforcement de la procédure de révocation des identifiants.
Commentaires (10)
#1
ncore le stockage direct du dépôt systemd sur GitHub
Pour ceux qui se demandent pourquoi ça fait parti des erreurs, c’est que systemd n’est pas dupliqué dans d’autres dépôts.
#2
Merci pour l’explication, j’avais deviné mais c’était pas clair dans l’article.
#3
Ah les mots de passe trop semblables… C’est un problème qui se présente quand tu essaies de créer, de tête, des mots de passe différents pour chaque compte (avec la possibilité de pouvoir les reconstruire quand tu veux t’identifier sans devoir systématiquement passer par ton gestionnaire de mots de passe) ! Je ne sais pas quelle solution idéale peut être mise en place à ce niveau.
#4
L’OTP est une très bonne solution pour renforcer un mot de passe potentiellement faible par sa construction.
#5
Le 2FA donc ? Je suis d’accord, mais tous ne le proposent pas, malheureusement.
#6
Ouep c’est bien dommage…
#7
y’a pas que le 2FA.
pour ce genre d’utilisations il devrait être interdit de choisir son pass de tête( histoire de justement pas le dériver d’un autre).
un bon générateur de mot de passe, une phrase de 50 caractères et c’est réglé.
l’absence de 2FA n’excuse rien dans le cas présent.
#8
#9
Disons que pour le commun des mortel, le 2FA et un mot de passe c’est tout de même plus simple
" />
Sinon autant directement penser certificat avec password, là c’est secure :p
#10
Cette brève tombe à pic, car j’ai manqué l’actu originale.
Sans doute grâce à son titre qui relègue Gentoo à la 3 ème place alors que je n’ai cure de Ticketmaster ou Adidas.