Drôle de week-end pour Canonical : son compte GitHub a été piraté, mais on ne déplore aucune « victime ».
L’éditeur a confirmé le 6 juillet à The Hacker News que les identifiants d’un des comptes GitHub de l’entreprise avaient été compromis et utilisés pour un accès aux dépôts d’Ubuntu.
En dépit cependant du risque représenté par le piratage, seuls 11 dossiers vides ont été créés. Les données n’ont apparemment pas été modifiées, alors que l’on pouvait craindre des insertions de code malveillant.
En outre, comme l’indique l'un des développeurs de la distribution, l’entreprise se sert de Launchpad pour compiler et maintenir le système, sans communication possible avec GitHub. Aucune chance donc d’impacter automatiquement les utilisateurs.
Le compte compromis a été fermé et les développeurs analysent actuellement le code pour s’assurer que rien n’a été touché, même si tout porte à croire que le ou les pirates n’ont pas eu le temps (ou l’envie ?) d’apporter des modifications.
Commentaires (7)
#1
Laissez moi deviné, ils n’avais pas activé la double authentification ?
#2
Le mot de passe était a été trouvé ou deviné ? Oui mais on va dire qu’on a été piraté sinon on va passer pour des baltringues.
" />
#3
Cette histoire rappelle quand même que le modèle de développement du logiciel libre implique, au vu de son utilisation massive, un très strict suivi des sources, de ses modifications et de sa distribution. L’article en lien rappelle que Gentoo avait été impactée et un malware implémenté dedans par ce biais.
Au final, plutôt que d’exploiter une faille dans le produit compilé distribué, le gros risque de sécurité réside dans la protection des sources vu que c’est l’un des principaux vecteurs d’attaques contres les logiciels libres. (corruption de repos, corruption de sources, etc)
A ce niveau, j’imagine que les principaux éditeurs de logiciels libres ont de quoi tracer et auditer toute modification de code. Mais quand il s’agit de projets aux moyens très limités, le risque s’agrandi.
#4
Ca ne concerne pas que les logiciels libres. Tout logiciel dont les sources sont exposés d’une quelconque façon via Internet (que ce soit un repo GIT privé sur GitHub ou équivalent, ou bien sur site via un VPN) peut être détourné de la même façon.
De là à préconiser de se partager les sources exclusivement sur disquettes est un pas que je ne franchirai pas.
#5
Je n’ai pas mentionné l’open source dans la mesure où la contribution à ce modèle est plus limitée que le libre. Mais le risque est similaire effectivement.
" />
Quant au partage sur support physique, le risque est également présent puisque le faille réside dans le porteur et non le support.
Il suffit d’une personne qui prenne la disquette d’Igor des Chinois du FBI Russie pour véroler la chaîne.
La NASA a bien été infiltrée pendant plusieurs mois jusqu’à ce qu’ils découvrent un Raspberry Pi installé en sous marin.
#6
Naaaaan ! Je voulais dire aussi le closed source est impacté. Si un attaquant trouve un identifiant pour ton dépôt, même complètement privé, il peut injecter du code aussi.
Le top du top serait en fait d’injecter du code dans le compilateur C/C++ qui est capable de se dupliquer dans le binaire généré. Si les sources sont clean, mais le compilateur vérolé, le binaire est vérolé. Si tu compiles le compilateur à partir des sources clean, mais avec un compilateur vérolé, tu obtiens encore un compilateur vérolé.
#7
Effectivement je ne l’avais pas compris en ce sens et c’est également un sacré risque.