Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le serveur de la Free Software Foundation attaqué
Par injections SQL, des identifiants et des mots de passe utilisateurs ont été volés

Le , par Hinault Romaric

23PARTAGES

5  0 
Le serveur hébergeant le site Gnu.org de la Free Software Foundation a été attaqué.

Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.

Selon la FSF, les pirates ont lancé une attaque de leur serveur le 24 novembre 2010 en utilisant des injections SQL pour télécharger sa base de données.

Les attaquants ont également trouvé un répertoire avec un accès en écriture. Ils ont ensuite essayé plusieurs scripts sur le serveur. Mais la FSF estime que ceux-ci n'ont pas pu avoir accès à la racine du site.

Par mesure de précaution, les administrateurs du serveur Savannah ont du revenir sur toutes les modifications du contenu du serveur depuis le 23 novembre, une journée avant la première attaque.

Matt Lee, directeur de Free Software Foundation, a déclaré que les projets actuels liés au développement de logiciels open source ne sont pas affectés.

La Free Software Foundation n'est pas la seule organisation open-source à avoir été touchée. Il y a de cela quelque mois, les serveurs de la fondation apache ont également été victime des attaques.

On ne sait toujours pas qui en est à l'origine.

Source : Blog de la Free Software Foundation

Et vous ?

Qui peut être d'après vous à l'origine de cette attaque ?
Vous parait-il possible que ces attaques contre deux grands organismes de l'open source soient liées ?

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de kedare
Membre expérimenté https://www.developpez.com
Le 02/12/2010 à 18:50
Citation Envoyé par olivier69 Voir le message
Des injections SQL ?

C'est encore possible sur des sites institutionnels de laisser des trous de sécurité comme ça ?

Et ben, on peut seulement s’inquiéter de la sécurité de nos données personnelles !
Tu n'imagine même pas le nombre de sites qui ont cette faille.... (Bizarrement 90% du temps en PHP....)
6  2 
Avatar de olivier69
Membre du Club https://www.developpez.com
Le 02/12/2010 à 20:40
Citation Envoyé par HerveThouzard Voir le message
Php n'a rien à voir la dedans, le problème c'est le programmeur !
Ben non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).

Bref, c'est mal de laisser des trous comme ça, surtout que c'est pas des gamins qui affichent leur 1er Hello World.
4  0 
Avatar de olivier69
Membre du Club https://www.developpez.com
Le 02/12/2010 à 18:53
Citation Envoyé par kedare Voir le message
Tu n'imagine même pas le nombre de site qui ont cette faille.... (Bizarrement 90% du temps en PHP....)
Je sais, mais quand même, pas eux...

Ce serait la Hadopi, personne ne serait surpris et ça ferait rire tout le monde, mais là c'est un comble !

Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !

Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casseroles
4  1 
Avatar de alexrtz
Membre expérimenté https://www.developpez.com
Le 03/12/2010 à 12:49
Citation Envoyé par Louis Griffont Voir le message
Et après on vient nous bassiner que Libre = plus sécuriser !
+ sécurisé <> sans aucune faille

C'est si difficile à comprendre ?
4  1 
Avatar de kaymak
Membre chevronné https://www.developpez.com
Le 03/12/2010 à 16:40
Citation Envoyé par Louis Griffont Voir le message
Oui, mais ça ne rassure pas sur la suite.
Quelqu'un a posé la question : "Pour cette attaque qui a réussi, combien ont échoué ?" C'est une bonne question. On pourrait aussi poser la question suivante : "Pour cette attaque réussie qui a été détectée, combien ont réussie sans être détectée ?"
Et si on se pause cette question toute bête, on se pause alors la question de la sécurité des logiciels dont les dépôts sont accessibles depuis ce site, non ?

Moi, je ne dis pas que Windows c'est trop bien (d'abord parce rien n'est jamais TROP bien), je dis juste qu'il ne faut pas jeter la pierre au seul OS utilisé par des millions de personnes, attaquer par tous les pirates du monde entier, d'avoir quelques fois des petits soucis.
Ensuite, pour ce qui est des réponses fournies pour vanter les mérites des logiciels libres et de leur sécurité légendaire, c'est toujours les mêmes, et elles ne résistent justement pas à ce qui vient de se passer sur ce site !
C'était là, la nuance de mes propos !
hello,

si tu avais pris le temps de lire mon post, et d'aller jeter un oeil au code source de l’application, en l’occurrence savane, exploitée par se site, nongnu.savannah.org et d'autres.
Tu aurais pu y lire les derniers commits effectués concernant d’éventuelles injections sql.

Tu aurais pu y lire que ce qui est en cause, en prenant le changelog à disposition, que ce n'est pas le langage comme cité plus haut, ni les outils employés, probablement du lamp ou équivalent, mais le code produit et exploité par les développeurs qui est en cause.
Car, mais il fallait aller le lire, il manquait surtout des appels à quelques fonctions existantes pour protéger les chaines en entrer avant de les envoyer au serveur de bdd.

Donc bon, il ne faut pas tout confondre, et ici l'erreur n'à rien à voir avec le sous système,
mais
- les choix de développement,
- la qualité des tests qui y sont appliqués pour le contrôler et le vérifier.

fin bref.

a +
6  3 
Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 03/12/2010 à 17:06
Citation Envoyé par kaymak Voir le message
hello,

si tu avais pris le temps de lire mon post, et d'aller jeter un oeil au code source de l’application, en l’occurrence savane, exploitée par se site, nongnu.savannah.org et d'autres.
Tu aurais pu y lire les derniers commits effectués concernant d’éventuelles injections sql.

Tu aurais pu y lire que ce qui est en cause, en prenant le changelog à disposition, que ce n'est pas le langage comme cité plus haut, ni les outils employés, probablement du lamp ou équivalent, mais le code produit et exploité par les développeurs qui est en cause.
Car, mais il fallait aller le lire, il manquait surtout des appels à quelques fonctions existantes pour protéger les chaines en entrer avant de les envoyer au serveur de bdd.

Donc bon, il ne faut pas tout confondre, et ici l'erreur n'à rien à voir avec le sous système,
mais
- les choix de développement,
- la qualité des tests qui y sont appliqués pour le contrôler et le vérifier.

fin bref.

a +
*sort sa cape de Super-Défenseur-de-Posteurs-Incompris*

Mais ça Louis le sait, on l'a même dit plus haut, que c'est une erreur côté développeur et pas technologie utilisée. Il n'a jamais insinué que c'était un problème de sous-système.

Ce qu'il essaye de dire (du moins je pense) c'est que d'après la news un serveur hébergeant des sources a été "corrompu", à savoir :

Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.
Donc moi ce que je comprend c'est que les pirates auraient pu faire pire avec les dépôts (moi je ne sais pas comment ils sont gérés en interne et ce que l'attaque aurait pu faire d'autre) du coup je me méfie. Et ils ont utilisé un moyen "classique" dont on aurait pu supposer que le site eût été immunisé (notez le conditionnel).

En interprétant tout ça, on serait en droit de se demander si les dépôts de sources sont si sûrs qu'on nous le dit. Ca ne veut pas dire qu'ils ne sont pas sécurisés mais juste que cet incident, aussi exceptionnel soit-il, amène la question de manière légitime.
3  0 
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 03/12/2010 à 9:53
Non, ils ont surtout discréditer le site, et ils ont des données utilisateurs.
3  1 
Avatar de Jbx 2.0b
Membre chevronné https://www.developpez.com
Le 03/12/2010 à 10:01
Non pas du libre, des données personnelles.
2  0 
Avatar de guidav
Membre éprouvé https://www.developpez.com
Le 03/12/2010 à 10:44
Le but à terme est peut-être aussi de modifier le contenu de certains dépôts. Vous imaginez l'impact d'un sniffer ajouté dans le code d'un soft libre super populaire, modifié directement dans le dépôt officiel ? Et hop, un botnet de serveurs ! Et sur des machines a priori dignes de confiance, en plus.
3  1 
Avatar de alexrtz
Membre expérimenté https://www.developpez.com
Le 03/12/2010 à 14:08
Citation Envoyé par Louis Griffont Voir le message
Et je me dis : "Comment être sûr à présent que les dépôts sont sains ?"
Partir du principe qu'ils sont malsains fait une comparaison avec les sauvegardes des dépôts sur les x derniers jours/mois/années/siècles/millénaires.

Citation Envoyé par Louis Griffont Voir le message
On nous bassine à tout les coins de sujets traitant de Windows, que le libre est plus sécurisé
Et t'en a qui, à tous les coins de sujets traitant de Windows, vont inlassablement répéter que Windows c'est trop bien (comme si on avait pas fini par le comprendre à force) et qui, à tous les coins de sujets traitant du libre, vont reposer encore et encore les mêmes questions "juste pour s'interroger", même quand des réponses à ces questions ont déjà été données.
4  2