Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

PHP : le site officiel piraté et le code source du langage compromis
Les attaques contre les logiciels libres s'intensifient

Le , par Idelways

0PARTAGES

8  0 
Le système de Wiki utilisé par le site officiel du langage PHP aurait été compromis, permettant le vol de codes d'accès aux dépôts des sources du langage. L'intention était certainement d’insérer subrepticement des portes dérobées dans les prochaines versions.

Le site PHP.net (indisponible durant 4 jours) subit actuellement un audit complet. Les commits à la base de code du langage depuis la version 5.3.5 sont passées au peigne fin pour y déceler la moindre modification malicieuse.

Tous les intervenants sur le code source de PHP sont par ailleurs forcés de changer leurs codes d'identification Subversion.

L'équipe de PHP communique avec parcimonie sur cette attaque et n'a publié pour l'heure qu'une brève note de sécurité. On sait toutefois que l'attaque a été rendue possible grâce à un double exploit, sur DokuWiki et une autre faille sur le système Linux sous-jacent, permettant l'élévation des privilèges.

Pour l'heure, la seule modification douteuse trouvée dans le code source de PHP 5.3.6, sortie récemment, est l'ajout du nom « Wolegequ Gelivable » aux crédits d'une partie spécifique du code.
Il s'agit probablement d'une tentative discrète de confirmer la validité des codes d'accès volés en vue d'effectuer d'autres commits avec du code malicieux.

Cette affaire a été mise en lumière par la firme de sécurité française Vupen Security qui soupçonne, dans une déclaration à la presse, un hacker chinois d'être à l'origine de cette attaque.

Des spéculations fusent sur la toile quant à une possible implication du gouvernement chinois qui souhaiterait, selon certaines rumeurs, insérer des portes dérobées permettant de compromettre plus facilement les sites web.
Aucune de ces spéculations n'est cependant accompagnée de preuves concrètes.

L'affaire fait en tout cas penser à celle du piratage des serveurs de la Free Software Foundation en décembre dernier.

Source : Note de sécurité de PHP.net

Et vous ?

Que vous inspire ces attaques ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 22/03/2011 à 14:05
Citation Envoyé par Neko Voir le message
Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.
Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...
Et puis surtout, pour se faire un nom, il faut revendiquer l'acte. Attaquer un site open source ternirait le nom plutôt que de le glorifier.
10  0 
Avatar de Shikiryu
Membre éclairé https://www.developpez.com
Le 22/03/2011 à 14:27
Perso, ça ne m'effraie pas plus que ça.

Pourquoi ?
Parce que l'attaque s'est déroulée via un commit du code source de PHP dans le SVN officiel.

Commit qui d'une part est :
  • réversible (hop un revert et c'est finit)
  • trackable (car envoyé à des mailing list)
  • non mystérieux (on voit les changements dans les logs de chaque commit)


Hannes Magnusson est la personne qui s'est fait "hacké" son compte SVN de PHP.net et l'explique ici

La sécurité de PHP n'est donc pas mise en cause pour les prochaines versions et la sécurité de leur SVN sera peut-être améliorée comme ça.
8  0 
Avatar de siger95
Membre régulier https://www.developpez.com
Le 22/03/2011 à 12:44
par contre l'avantage c'est que comme le code est libre le nombre de personnes qui peuvent l'auditer est plus grand . Le libre aurait la réputation de réagir plus vite. Là on va voir si c'est le cas. Mais en effet ça rappelle que le libre est autant exposé que les autres.
6  0 
Avatar de Shikiryu
Membre éclairé https://www.developpez.com
Le 22/03/2011 à 14:59
Comme il le dit dans son article, ça montre un peu le sérieux des développeurs de PHP. En effet, en moins de 10 minutes, 3 d'entre eux ont signalé l'anormalité (Hannes Magnusson ne devant rien faire depuis quelques temps). En même temps, tous les dev recevant les différents commit via une mailing list peuvent voir si leur nom est utilisé et si les intitulés des commit sont les leurs.

De plus, je connais des gens sur le chat de StackOverflow qui surveillent eux-même les différents commit du SVN de PHP (et ils ne font pas partie de leur dev, même si un d'entre eux travaille pour Zend).

Je ne pense pas qu'être alarmiste, ici, soit recommandé àmha.
6  0 
Avatar de eomer212
Membre averti https://www.developpez.com
Le 17/04/2011 à 1:34
php.net n'a pas été piraté, quelqu'un s'est servi du compte d'un des developpeurs pour faire un commit rajoutant un remerciement à un certain "Wolegequ Gelivable" . c'est meme pas le code qui a été tenté d'être touché.
et la, on touche meme pas l'exploit technique, ca peut tres bien etre du hack social.
ce n'est donc pas l'infrastructure securitaire du site ou de svn qui est en jeu, mais plutot la politique de securité des comptes des developpeurs et contributeurs au projet.

en tout cas, je suis trés impressionné de voir la reactivité et le degré de surveillance des personnes participants à ce projet, et ca me renforce d'autant plus dans la conviction que le code doit etre ouvert et connu de tous.
pas comme chez microsoft ou ils n'ont JAMAIS étés capable de corriger le bug du controleur du lecteur de disquette.(un seul exemple suffit, sinon on en sortira jamais. bref.

corriger des failles et les éliminer progressivmeent au vu et au su de tout le monde, c'est toujours mieux que de laisser des goufres cachés exister sous nos pieds.

vive php, bravo les gars,et les filles, continuez comme ca!
6  0 
Avatar de rushtakn
Membre actif https://www.developpez.com
Le 22/03/2011 à 13:22
Citation Envoyé par berceker united Voir le message
Moi, je propose de garder les oreilles grandes ouvertes pour voir s'il y aura pas d'ici peut de temps une attaque publicitaire de la part de grandes sociétés pour imposer leurs outils dont la sécurité sera mis en avant. En gros sous entendre "Vous avez vu, PHP n'est pas sécurisé, la preuve".
Il y a pas de fumé sans feux ?
Il y a pas d'attaque sans intérêt...
Oui enfin, il faut egalement savoir profiter de toutes les occasions. C'est pas parce des boites essayent de mettre en avant leurs outils suite à cette attaque qu'ils en sont les commanditaires.
5  0 
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 22/03/2011 à 15:37
Citation Envoyé par Flaburgan Voir le message
Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...
Tous les hackers ne sont pas des White hat. On est pas dans le monde de OuiOui ici.

Citation Envoyé par Flaburgan Voir le message
Et puis surtout, pour se faire un nom, il faut revendiquer l'acte.
Genre comme ajouter son pseudo dans les crédits ?

Citation Envoyé par Flaburgan Voir le message
Attaquer un site open source ternirait le nom plutôt que de le glorifier.
Ça c'est parceque tu pars du principe que tous les hackers sont super gentils et qu'ils aiment tous l'open source. Mais sur quoi te bases-tu ?
7  2 
Avatar de Camille_B
Membre confirmé https://www.developpez.com
Le 22/03/2011 à 13:43
Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.
Bah, peut-être pas... Le site pouvait très bien être très vulnérable.
3  0 
Avatar de pc.bertineau
Membre éclairé https://www.developpez.com
Le 22/03/2011 à 17:27
Intéressant le post de Hannes Magnusson qui explique qu'il est difficile de passer inaperçu à faire des commit sur le repo officiel.

Néanmoins le risque engendré par une faille d'une appli annexe (le wiki) n'aurait pas dû conduire à une intrusion sur le SVN qui reste la référence du langage et de son développement.
Toujours cette même rengaine sur la sécurité : le niveau d'un système de sécurité est celui du plus faible de ses maillons...
3  0 
Avatar de stealth35
Expert éminent sénior https://www.developpez.com
Le 31/03/2011 à 16:48
Citation Envoyé par rkalonji Voir le message
Heureusement qu il existe depuis la version 5.3.5 un petit code interne qui permet l auto audit et il n a détecté aucune anomalie.
t'as un lien de ça ?
3  0