Les archives du navigateur Pale Moon étaient infectées depuis fin 2017

Les archives du navigateur Pale Moon étaient infectées depuis fin 2017

Par Sébastien Gavois

Le 12 Juillet 2019 à 09h44
Logiciel
2 min 5

Les archives du navigateur Pale Moon étaient infectées depuis fin 2017

Pale Moon, initialement dérivé de Firefox, mais devenu un fork à part entière, a été victime d’un piratage de son serveur dédié à ses archives.

La brèche n’a été découverte qu’il y a trois jours. Les développeurs ont été avertis et, en fouillant, se sont rendu compte que le problème de sécurité était ancien : le 27 décembre 2017 vers 15h30.

Des exécutables Windows ont été modifiés et infectés (versions 27.6.2 et antérieures) avec un malware désigné par ESET comme Win32/ClipBanker.DY. Le serveur d’archive a immédiatement été déconnecté après la découverte, tandis que celui dédié aux dernières versions de Pale Moon n’a jamais été touché.

Difficile d’en savoir davantage, car les archives ont été rendues en grande partie illisibles à cause d’un incident survenu le 26 mai dernier. Pour l’équipe, il ne peut s’agir que d’une autre attaque, soit par les auteurs de la première, soit par d’autres ayant eu le même type d’accès. Dans la foulée, un nouveau serveur a été monté, passant de Windows à CentOS.

SI vous n’avez jamais puisé dans le serveur d’archive, les développeurs estiment que vous n’avez a priori rien à craindre. Ils rappellent cependant que Pale Moon est fourni avec un fichier .sig permettant de vérifier la signature PGP du navigateur. 

Sous Windows, il faut notamment effectuer un clic droit sur l’exécutable principal, aller dans les Propriétés puis dans l’onglet Signature. S’il est absent, c’est que le fichier a été altéré. Un hash SHA256 est également fourni dans un fichier texte.

En outre, le malware Win32/ClipBanker.DY est connu de tous les antivirus depuis un moment et devrait être détecté comme tel, notamment par le propre Defender de Windows 10.

Commentaires (5)


GruntZ Abonné
Le 12/07/2019 à 09h58

”… un nouveau serveur a été monté, passant de Windows à CentOS.”

No Comments <img data-src=" />


Wawet76
Le 12/07/2019 à 14h21

Si ça fait un an et demi que les exécutables dispo dans les archives sont infectés par un virus détecté par Windows 10, c’est qu’il ne doit pas y avoir grand monde qui utilise leurs archives :)


grsbdl Abonné
Le 12/07/2019 à 15h02

Ca montre aussi qu’il est difficile pour une équipe réduite et non salariée de maintenir un logiciel critique (l’accès au web quoi, les menaces sont innombrables) qui est parti du fork d’un logiciel dont la base de code est conséquente. 



A la limite, juste recompiler un logiciel avec des flags pour cibler les CPU récents, pourquoi pas (c'est ce que faisait Palemoon au tout début, justement), mais si l'on veut aller plus loin et devenir un projet à part, il faut avoir les capacités qui vont avec. Le mec de Palemoon ne les a pas.      


Combien d'audits de sécurité sur Palemoon ? Combien de contributeurs pour résoudre les soucis de sécurité dans des délais raisonnables ? Le néant, ou presque.


Palemoon reste un beau projet, un truc intéressant, mais il faut le prendre pour ce qu’il est : un joli joujou, mais un joujou bardé de TNT.


TheKillerOfComputer Abonné
Le 12/07/2019 à 21h41

Oui enfin là on parle d’un souci extérieur au navigateur en lui-même, et le lien pour accéder à ces archives est tout en bas de la page de téléchargement. Avoir une version archivée n’est donc pas par accident et donc le risque est faible, et j’imagine que c’est du coup normal que le souci existe depuis si longtemps.



Quand Firefox a eu sa dernière grosse faille il y a une semaine et la correction adhoc, Pale Moon a eu son patch quelques jours plus tard.


Elwyns
Le 13/07/2019 à 09h39







Wawet76 a écrit :



Si ça fait un an et demi que les exécutables dispo dans les archives sont infectés par un virus détecté par Windows 10, c’est qu’il ne doit pas y avoir grand monde qui utilise leurs archives :)





mais étais ce le cas en 2017 ?



Fermer