Publié dans Logiciel

5

Les archives du navigateur Pale Moon étaient infectées depuis fin 2017

Les archives du navigateur Pale Moon étaient infectées depuis fin 2017

Pale Moon, initialement dérivé de Firefox, mais devenu un fork à part entière, a été victime d’un piratage de son serveur dédié à ses archives.

La brèche n’a été découverte qu’il y a trois jours. Les développeurs ont été avertis et, en fouillant, se sont rendu compte que le problème de sécurité était ancien : le 27 décembre 2017 vers 15h30.

Des exécutables Windows ont été modifiés et infectés (versions 27.6.2 et antérieures) avec un malware désigné par ESET comme Win32/ClipBanker.DY. Le serveur d’archive a immédiatement été déconnecté après la découverte, tandis que celui dédié aux dernières versions de Pale Moon n’a jamais été touché.

Difficile d’en savoir davantage, car les archives ont été rendues en grande partie illisibles à cause d’un incident survenu le 26 mai dernier. Pour l’équipe, il ne peut s’agir que d’une autre attaque, soit par les auteurs de la première, soit par d’autres ayant eu le même type d’accès. Dans la foulée, un nouveau serveur a été monté, passant de Windows à CentOS.

SI vous n’avez jamais puisé dans le serveur d’archive, les développeurs estiment que vous n’avez a priori rien à craindre. Ils rappellent cependant que Pale Moon est fourni avec un fichier .sig permettant de vérifier la signature PGP du navigateur. 

Sous Windows, il faut notamment effectuer un clic droit sur l’exécutable principal, aller dans les Propriétés puis dans l’onglet Signature. S’il est absent, c’est que le fichier a été altéré. Un hash SHA256 est également fourni dans un fichier texte.

En outre, le malware Win32/ClipBanker.DY est connu de tous les antivirus depuis un moment et devrait être détecté comme tel, notamment par le propre Defender de Windows 10.

5

Tiens, en parlant de ça :

dessin satirique de Flock

#Flock : de Game of Shithrones au jeu des sept différences

Moi en retard ??? Non… (Ha si…)

13:37 Flock 11
Des chercheurs en noir et blanc regardent une fiole sur laquelle est écrit "Perlimpimpin" en jaune.

[Édito] Respectez les sciences, bordel !

Demi mole

17:07 NextScience 39
Vitrée brisée

Une faille critique dans le langage Rust, Windows trinque

De la rouille, des fenêtres, une rustine

17:02 SoftSécu 28
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

5

Fermer

Commentaires (5)


”… un nouveau serveur a été monté, passant de Windows à CentOS.”

No Comments <img data-src=" />


Si ça fait un an et demi que les exécutables dispo dans les archives sont infectés par un virus détecté par Windows 10, c’est qu’il ne doit pas y avoir grand monde qui utilise leurs archives :)


Ca montre aussi qu’il est difficile pour une équipe réduite et non salariée de maintenir un logiciel critique (l’accès au web quoi, les menaces sont innombrables) qui est parti du fork d’un logiciel dont la base de code est conséquente.



A la limite, juste recompiler un logiciel avec des flags pour cibler les CPU récents, pourquoi pas (c'est ce que faisait Palemoon au tout début, justement), mais si l'on veut aller plus loin et devenir un projet à part, il faut avoir les capacités qui vont avec. Le mec de Palemoon ne les a pas.      

Combien d'audits de sécurité sur Palemoon ? Combien de contributeurs pour résoudre les soucis de sécurité dans des délais raisonnables ? Le néant, ou presque.



Palemoon reste un beau projet, un truc intéressant, mais il faut le prendre pour ce qu’il est : un joli joujou, mais un joujou bardé de TNT.


Oui enfin là on parle d’un souci extérieur au navigateur en lui-même, et le lien pour accéder à ces archives est tout en bas de la page de téléchargement. Avoir une version archivée n’est donc pas par accident et donc le risque est faible, et j’imagine que c’est du coup normal que le souci existe depuis si longtemps.



Quand Firefox a eu sa dernière grosse faille il y a une semaine et la correction adhoc, Pale Moon a eu son patch quelques jours plus tard.








Wawet76 a écrit :



Si ça fait un an et demi que les exécutables dispo dans les archives sont infectés par un virus détecté par Windows 10, c’est qu’il ne doit pas y avoir grand monde qui utilise leurs archives :)





mais étais ce le cas en 2017 ?