Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Le compte GitHub de Canonical piraté, pas de danger pour Ubuntu

Drôle de week-end pour Canonical : son compte GitHub a été piraté, mais on ne déplore aucune « victime ».

L’éditeur a confirmé le 6 juillet à The Hacker News que les identifiants d’un des comptes GitHub de l’entreprise avaient été compromis et utilisés pour un accès aux dépôts d’Ubuntu.

En dépit cependant du risque représenté par le piratage, seuls 11 dossiers vides ont été créés. Les données n’ont apparemment pas été modifiées, alors que l’on pouvait craindre des insertions de code malveillant.

En outre, comme l’indique l'un des développeurs de la distribution, l’entreprise se sert de Launchpad pour compiler et maintenir le système, sans communication possible avec GitHub. Aucune chance donc d’impacter automatiquement les utilisateurs.

Le compte compromis a été fermé et les développeurs analysent actuellement le code pour s’assurer que rien n’a été touché, même si tout porte à croire que le ou les pirates n’ont pas eu le temps (ou l’envie ?) d’apporter des modifications.

7 commentaires
Avatar de Macarie Abonné
Avatar de MacarieMacarie- 08/07/19 à 12:50:44

Laissez moi deviné, ils n'avais pas activé la double authentification ?

Avatar de Johnny6 INpactien
Avatar de Johnny6Johnny6- 08/07/19 à 14:46:39

Le mot de passe était a été trouvé ou deviné ? Oui mais on va dire qu'on a été piraté sinon on va passer pour des baltringues. :D

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 08/07/19 à 15:43:32

Cette histoire rappelle quand même que le modèle de développement du logiciel libre implique, au vu de son utilisation massive, un très strict suivi des sources, de ses modifications et de sa distribution. L'article en lien rappelle que Gentoo avait été impactée et un malware implémenté dedans par ce biais.

Au final, plutôt que d'exploiter une faille dans le produit compilé distribué, le gros risque de sécurité réside dans la protection des sources vu que c'est l'un des principaux vecteurs d'attaques contres les logiciels libres. (corruption de repos, corruption de sources, etc)

A ce niveau, j'imagine que les principaux éditeurs de logiciels libres ont de quoi tracer et auditer toute modification de code. Mais quand il s'agit de projets aux moyens très limités, le risque s'agrandi.

Avatar de 33A20158-2813-4F0D-9D4A-FD05E2C42E48 INpactien

Ca ne concerne pas que les logiciels libres. Tout logiciel dont les sources sont exposés d'une quelconque façon via Internet (que ce soit un repo GIT privé sur GitHub ou équivalent, ou bien sur site via un VPN) peut être détourné de la même façon.

De là à préconiser de se partager les sources exclusivement sur disquettes est un pas que je ne franchirai pas.

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 09/07/19 à 07:11:31

Je n'ai pas mentionné l'open source dans la mesure où la contribution à ce modèle est plus limitée que le libre. Mais le risque est similaire effectivement.

Quant au partage sur support physique, le risque est également présent puisque le faille réside dans le porteur et non le support. :D
Il suffit d'une personne qui prenne la disquette d'Igor des Chinois du FBI Russie pour véroler la chaîne.

La NASA a bien été infiltrée pendant plusieurs mois jusqu'à ce qu'ils découvrent un Raspberry Pi installé en sous marin.

Avatar de 33A20158-2813-4F0D-9D4A-FD05E2C42E48 INpactien

Naaaaan ! Je voulais dire aussi le closed source est impacté. Si un attaquant trouve un identifiant pour ton dépôt, même complètement privé, il peut injecter du code aussi.

Le top du top serait en fait d'injecter du code dans le compilateur C/C++ qui est capable de se dupliquer dans le binaire généré. Si les sources sont clean, mais le compilateur vérolé, le binaire est vérolé. Si tu compiles le compilateur à partir des sources clean, mais avec un compilateur vérolé, tu obtiens encore un compilateur vérolé.

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 09/07/19 à 09:14:34

Effectivement je ne l'avais pas compris en ce sens et c'est également un sacré risque.

Il n'est plus possible de commenter cette actualité.