Developpez.com

Le Club des Développeurs et IT Pro

Le serveur de la Free Software Foundation attaqué

Par injections SQL, des identifiants et des mots de passe utilisateurs ont été volés

Le 2010-12-02 17:22:06, par Hinault Romaric, Responsable .NET
Le serveur hébergeant le site Gnu.org de la Free Software Foundation a été attaqué.

Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.

Selon la FSF, les pirates ont lancé une attaque de leur serveur le 24 novembre 2010 en utilisant des injections SQL pour télécharger sa base de données.

Les attaquants ont également trouvé un répertoire avec un accès en écriture. Ils ont ensuite essayé plusieurs scripts sur le serveur. Mais la FSF estime que ceux-ci n'ont pas pu avoir accès à la racine du site.

Par mesure de précaution, les administrateurs du serveur Savannah ont du revenir sur toutes les modifications du contenu du serveur depuis le 23 novembre, une journée avant la première attaque.

Matt Lee, directeur de Free Software Foundation, a déclaré que les projets actuels liés au développement de logiciels open source ne sont pas affectés.

La Free Software Foundation n'est pas la seule organisation open-source à avoir été touchée. Il y a de cela quelque mois, les serveurs de la fondation apache ont également été victime des attaques.

On ne sait toujours pas qui en est à l'origine.

Source : Blog de la Free Software Foundation

Et vous ?

Qui peut être d'après vous à l'origine de cette attaque ?
Vous parait-il possible que ces attaques contre deux grands organismes de l'open source soient liées ?

En collaboration avec Gordon Fowler
  Discussion forum
44 commentaires
  • kedare
    Membre chevronné
    Envoyé par olivier69
    Des injections SQL ?

    C'est encore possible sur des sites institutionnels de laisser des trous de sécurité comme ça ?

    Et ben, on peut seulement s’inquiéter de la sécurité de nos données personnelles !
    Tu n'imagine même pas le nombre de sites qui ont cette faille.... (Bizarrement 90% du temps en PHP....)
    le 02/12/2010 à 18:50
  • olivier69
    Membre du Club
    Envoyé par HerveThouzard
    Php n'a rien à voir la dedans, le problème c'est le programmeur !
    Ben non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).

    Bref, c'est mal de laisser des trous comme ça, surtout que c'est pas des gamins qui affichent leur 1er Hello World.
    le 02/12/2010 à 20:40
  • olivier69
    Membre du Club
    Envoyé par kedare
    Tu n'imagine même pas le nombre de site qui ont cette faille.... (Bizarrement 90% du temps en PHP....)
    Je sais, mais quand même, pas eux...

    Ce serait la Hadopi, personne ne serait surpris et ça ferait rire tout le monde, mais là c'est un comble !

    Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !

    Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casseroles
    le 02/12/2010 à 18:53
  • alexrtz
    Membre expérimenté
    Envoyé par Louis Griffont
    Et après on vient nous bassiner que Libre = plus sécuriser !
    + sécurisé <> sans aucune faille

    C'est si difficile à comprendre ?
    le 03/12/2010 à 12:49
  • kaymak
    Membre émérite
    Envoyé par Louis Griffont
    Oui, mais ça ne rassure pas sur la suite.
    Quelqu'un a posé la question : "Pour cette attaque qui a réussi, combien ont échoué ?" C'est une bonne question. On pourrait aussi poser la question suivante : "Pour cette attaque réussie qui a été détectée, combien ont réussie sans être détectée ?"
    Et si on se pause cette question toute bête, on se pause alors la question de la sécurité des logiciels dont les dépôts sont accessibles depuis ce site, non ?

    Moi, je ne dis pas que Windows c'est trop bien (d'abord parce rien n'est jamais TROP bien), je dis juste qu'il ne faut pas jeter la pierre au seul OS utilisé par des millions de personnes, attaquer par tous les pirates du monde entier, d'avoir quelques fois des petits soucis.
    Ensuite, pour ce qui est des réponses fournies pour vanter les mérites des logiciels libres et de leur sécurité légendaire, c'est toujours les mêmes, et elles ne résistent justement pas à ce qui vient de se passer sur ce site !
    C'était là, la nuance de mes propos !
    hello,

    si tu avais pris le temps de lire mon post, et d'aller jeter un oeil au code source de l’application, en l’occurrence savane, exploitée par se site, nongnu.savannah.org et d'autres.
    Tu aurais pu y lire les derniers commits effectués concernant d’éventuelles injections sql.

    Tu aurais pu y lire que ce qui est en cause, en prenant le changelog à disposition, que ce n'est pas le langage comme cité plus haut, ni les outils employés, probablement du lamp ou équivalent, mais le code produit et exploité par les développeurs qui est en cause.
    Car, mais il fallait aller le lire, il manquait surtout des appels à quelques fonctions existantes pour protéger les chaines en entrer avant de les envoyer au serveur de bdd.

    Donc bon, il ne faut pas tout confondre, et ici l'erreur n'à rien à voir avec le sous système,
    mais
    - les choix de développement,
    - la qualité des tests qui y sont appliqués pour le contrôler et le vérifier.

    fin bref.

    a +
    le 03/12/2010 à 16:40
  • Hellwing
    Membre chevronné
    Envoyé par kaymak
    hello,

    si tu avais pris le temps de lire mon post, et d'aller jeter un oeil au code source de l’application, en l’occurrence savane, exploitée par se site, nongnu.savannah.org et d'autres.
    Tu aurais pu y lire les derniers commits effectués concernant d’éventuelles injections sql.

    Tu aurais pu y lire que ce qui est en cause, en prenant le changelog à disposition, que ce n'est pas le langage comme cité plus haut, ni les outils employés, probablement du lamp ou équivalent, mais le code produit et exploité par les développeurs qui est en cause.
    Car, mais il fallait aller le lire, il manquait surtout des appels à quelques fonctions existantes pour protéger les chaines en entrer avant de les envoyer au serveur de bdd.

    Donc bon, il ne faut pas tout confondre, et ici l'erreur n'à rien à voir avec le sous système,
    mais
    - les choix de développement,
    - la qualité des tests qui y sont appliqués pour le contrôler et le vérifier.

    fin bref.

    a +
    *sort sa cape de Super-Défenseur-de-Posteurs-Incompris*

    Mais ça Louis le sait, on l'a même dit plus haut, que c'est une erreur côté développeur et pas technologie utilisée. Il n'a jamais insinué que c'était un problème de sous-système.

    Ce qu'il essaye de dire (du moins je pense) c'est que d'après la news un serveur hébergeant des sources a été "corrompu", à savoir :

    Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.
    Donc moi ce que je comprend c'est que les pirates auraient pu faire pire avec les dépôts (moi je ne sais pas comment ils sont gérés en interne et ce que l'attaque aurait pu faire d'autre) du coup je me méfie. Et ils ont utilisé un moyen "classique" dont on aurait pu supposer que le site eût été immunisé (notez le conditionnel).

    En interprétant tout ça, on serait en droit de se demander si les dépôts de sources sont si sûrs qu'on nous le dit. Ca ne veut pas dire qu'ils ne sont pas sécurisés mais juste que cet incident, aussi exceptionnel soit-il, amène la question de manière légitime.
    le 03/12/2010 à 17:06
  • Flaburgan
    Modérateur
    Non, ils ont surtout discréditer le site, et ils ont des données utilisateurs.
    le 03/12/2010 à 9:53
  • Jbx 2.0b
    Membre chevronné
    Non pas du libre, des données personnelles.
    le 03/12/2010 à 10:01
  • guidav
    Membre éprouvé
    Le but à terme est peut-être aussi de modifier le contenu de certains dépôts. Vous imaginez l'impact d'un sniffer ajouté dans le code d'un soft libre super populaire, modifié directement dans le dépôt officiel ? Et hop, un botnet de serveurs ! Et sur des machines a priori dignes de confiance, en plus.
    le 03/12/2010 à 10:44
  • alexrtz
    Membre expérimenté
    Envoyé par Louis Griffont
    Et je me dis : "Comment être sûr à présent que les dépôts sont sains ?"
    Partir du principe qu'ils sont malsains fait une comparaison avec les sauvegardes des dépôts sur les x derniers jours/mois/années/siècles/millénaires.

    Envoyé par Louis Griffont
    On nous bassine à tout les coins de sujets traitant de Windows, que le libre est plus sécurisé
    Et t'en a qui, à tous les coins de sujets traitant de Windows, vont inlassablement répéter que Windows c'est trop bien (comme si on avait pas fini par le comprendre à force) et qui, à tous les coins de sujets traitant du libre, vont reposer encore et encore les mêmes questions "juste pour s'interroger", même quand des réponses à ces questions ont déjà été données.
    le 03/12/2010 à 14:08
  Poster une réponse