Le site de la distribution Linux Mint a été piraté à deux reprises dans la journée du 20 février. Une version particulière de la distribution a été infectée avec une porte dérobée et distribuée pendant quelques heures. La situation est revenue depuis à la normale.
Les attaques contre les sites ont beau se multiplier, elles concernent en grande majorité des produits commerciaux capables d’attirer des millions d’utilisateurs. Les projets libres sont davantage épargnés, ce qui ne signifie pas pour autant qu’ils soient à l’abri. Preuve en est l’attaque contre Linux Mint, une distribution populaire et basée sur Ubuntu, qui prépare actuellement sa version 18 – « Sarah » - pour mai ou juin prochain.
Des liens vers des images ISO infectées
Dans la nuit de vendredi à samedi, des pirates ont attaqué le site officiel de Linux Mint et sont parvenus à s’insérer dans le serveur principal. De là, ils ont pu changer le lien de téléchargement direct pour Linux Mint 17.3 Cinnamon Edition, la variante la plus téléchargée du système. Cinnamon est un environnement graphique très largement inspiré de GNOME 2.X et créé pour contenter ceux qui n’appréciaient pas la direction prise par la version suivante.
Le nouveau lien pointait vers une version vérolée de Linux Mint, stockée sur un serveur FTP en Bulgarie. Dans le système se trouvait Tsunami, un cheval de Troie contenant une porte dérobée pilotable par des commandes IRC. Le lien est resté actif quelques heures avant que les administrateurs du site ne se rendent compte de l’intrusion. Tous ceux qui ont récupéré l’ISO de la distribution en direct avant le 20 février ne sont donc pas concernés, pas plus que ceux qui l’ont récupérée par BitTorrent. Idem pour toutes les autres variantes de Linux Mint.
Une brèche qui n'a toujours pas été trouvée
Pour autant, les administrateurs ne se sont pas débarrassés tout de suite du problème. Ils ont bien remis les bons liens sur le site, mais les pirates ont réussi à revenir une deuxième fois, prouvant que le point d’entrée n’avait pas été trouvé. L’équipe de Linux Mint, redoutant que le problème ne se propage trop rapidement auprès des utilisateurs, a donc mis hors ligne le site et a publié hier un billet explicatif pour préciser à la communauté ce qu'il s’était passé.
À l’heure où nous écrivons ces lignes, le site officiel de la distribution n’est toujours pas revenu en ligne. Les administrateurs travaillent donc encore sur la sécurité, pour trouver comment les pirates ont pu s’introduire. Dans leur billet explicatif, ils invitent les utilisateurs à vérifier les signatures des fichiers ISO, car il en existe au total cinq variantes : 32 bits, 64 bits, 32 bits sans codecs, 64 bits sans codecs et OEM 64 Bits.
Se débarrasser au plus vite de tout système déjà installé
L’équipe recommande également de se débarrasser de l’image ISO téléchargée s’il s’agit d’une version frelatée, de jeter tout DVD qui aurait été gravé avec le système et de formater toute clé USB préparée depuis cette mouture. Dans le cas d’une installation déjà effectuée, elle enjoint les utilisateurs à déconnecter l’ordinateur d’Internet, mettre les documents de côté et formater avec une image propre. En l’état, il est urgent d’arrêter au plus vite d’utiliser un tel système.
Linux Mint indique en outre disposer de quelques informations sur la source de l’attaque, avec notamment les noms de trois personnes qui pourraient être impliquées. Curieusement, l’équipe n’a pas déposé encore plainte : « Ce que nous ignorons, ce sont les raisons de cette attaque. Si des efforts supplémentaires sont faits pour attaquer notre projet et si la raison est de nous faire du mal, nous nous mettrons en contact avec les autorités et les sociétés de sécurité pour confronter les personnes derrière tout ça. »
