Depuis de nombreuses années, le site Kernel.org est emblématique du monde Linux puisqu’il est utilisé pour distribuer les sources du fameux noyau. Mais le site a très récemment subi une importante attaque sur sa sécurité. Explications.L’attaque de Kernel.org a été révélée par la fuite d’un courrier électronique émanant de l’administrateur en chef John Hawley. On y apprend que l’infection des serveurs a été découverte le 28 août, mais que l’arrivée du troyen découvert à cette occasion était en fait antérieure. L’infection aurait duré au total 17 jours et aurait concerné plusieurs serveurs.
Une fois l’email découvert, Kernel.org n’a pas tardé à communiquer officiellement sur le sujet. On a pu ainsi y apprendre que les pirates avaient pu obtenir les droits root sur au moins l’un des serveurs. D’après les administrateurs, cette attaque aurait été rendue possible par l’utilisation de matériel d’authentification compromis, mais personne à l’heure actuelle ne sait comment ces informations ont été obtenues.
Mais le site se veut rassurant : aucune donnée sensible n’a été compromise. Les serveurs infectés ont tous été déconnectés et des sauvegardes ont été faites. Maintenant, c’est une analyse du code dans Git qui attend les développeurs. Git est le système de contrôle de version qui permet de suivre les modifications effectuées dans le code. Chaque version différente de chaque package, composant, ou module dispose ainsi de son propre hachage SHA-1. En clair, si modification il y a eu durant les 17 jours d’infection, alors elle sera forcément détectée.
D’après Kernel.org, les dépôts n’ont pas été affectés. De plus, chaque participant ayant un accès au site se voit actuellement demandé de changer son mot de passe et sa clé SSH. Toutes les politiques de sécurité recevront également un audit.
