Developpez.com

Le Club des Développeurs et IT Pro

PHP : le site officiel piraté et le code source du langage compromis

Les attaques contre les logiciels libres s'intensifient

Le 2011-03-22 12:13:34, par Idelways, Expert éminent sénior
Le système de Wiki utilisé par le site officiel du langage PHP aurait été compromis, permettant le vol de codes d'accès aux dépôts des sources du langage. L'intention était certainement d’insérer subrepticement des portes dérobées dans les prochaines versions.

Le site PHP.net (indisponible durant 4 jours) subit actuellement un audit complet. Les commits à la base de code du langage depuis la version 5.3.5 sont passées au peigne fin pour y déceler la moindre modification malicieuse.

Tous les intervenants sur le code source de PHP sont par ailleurs forcés de changer leurs codes d'identification Subversion.

L'équipe de PHP communique avec parcimonie sur cette attaque et n'a publié pour l'heure qu'une brève note de sécurité. On sait toutefois que l'attaque a été rendue possible grâce à un double exploit, sur DokuWiki et une autre faille sur le système Linux sous-jacent, permettant l'élévation des privilèges.

Pour l'heure, la seule modification douteuse trouvée dans le code source de PHP 5.3.6, sortie récemment, est l'ajout du nom « Wolegequ Gelivable » aux crédits d'une partie spécifique du code.
Il s'agit probablement d'une tentative discrète de confirmer la validité des codes d'accès volés en vue d'effectuer d'autres commits avec du code malicieux.

Cette affaire a été mise en lumière par la firme de sécurité française Vupen Security qui soupçonne, dans une déclaration à la presse, un hacker chinois d'être à l'origine de cette attaque.

Des spéculations fusent sur la toile quant à une possible implication du gouvernement chinois qui souhaiterait, selon certaines rumeurs, insérer des portes dérobées permettant de compromettre plus facilement les sites web.
Aucune de ces spéculations n'est cependant accompagnée de preuves concrètes.

L'affaire fait en tout cas penser à celle du piratage des serveurs de la Free Software Foundation en décembre dernier.

Source : Note de sécurité de PHP.net

Et vous ?

Que vous inspire ces attaques ?
  Discussion forum
33 commentaires
  • Flaburgan
    Modérateur
    Envoyé par Neko
    Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
    Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.
    Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...
    Et puis surtout, pour se faire un nom, il faut revendiquer l'acte. Attaquer un site open source ternirait le nom plutôt que de le glorifier.
    le 22/03/2011 à 14:05
  • Shikiryu
    Membre éclairé
    Perso, ça ne m'effraie pas plus que ça.

    Pourquoi ?
    Parce que l'attaque s'est déroulée via un commit du code source de PHP dans le SVN officiel.

    Commit qui d'une part est :
    • réversible (hop un revert et c'est finit)
    • trackable (car envoyé à des mailing list)
    • non mystérieux (on voit les changements dans les logs de chaque commit)


    Hannes Magnusson est la personne qui s'est fait "hacké" son compte SVN de PHP.net et l'explique ici

    La sécurité de PHP n'est donc pas mise en cause pour les prochaines versions et la sécurité de leur SVN sera peut-être améliorée comme ça.
    le 22/03/2011 à 14:27
  • par contre l'avantage c'est que comme le code est libre le nombre de personnes qui peuvent l'auditer est plus grand . Le libre aurait la réputation de réagir plus vite. Là on va voir si c'est le cas. Mais en effet ça rappelle que le libre est autant exposé que les autres.
    le 22/03/2011 à 12:44
  • Shikiryu
    Membre éclairé
    Comme il le dit dans son article, ça montre un peu le sérieux des développeurs de PHP. En effet, en moins de 10 minutes, 3 d'entre eux ont signalé l'anormalité (Hannes Magnusson ne devant rien faire depuis quelques temps). En même temps, tous les dev recevant les différents commit via une mailing list peuvent voir si leur nom est utilisé et si les intitulés des commit sont les leurs.

    De plus, je connais des gens sur le chat de StackOverflow qui surveillent eux-même les différents commit du SVN de PHP (et ils ne font pas partie de leur dev, même si un d'entre eux travaille pour Zend).

    Je ne pense pas qu'être alarmiste, ici, soit recommandé àmha.
    le 22/03/2011 à 14:59
  • eomer212
    Membre confirmé
    php.net n'a pas été piraté, quelqu'un s'est servi du compte d'un des developpeurs pour faire un commit rajoutant un remerciement à un certain "Wolegequ Gelivable" . c'est meme pas le code qui a été tenté d'être touché.
    et la, on touche meme pas l'exploit technique, ca peut tres bien etre du hack social.
    ce n'est donc pas l'infrastructure securitaire du site ou de svn qui est en jeu, mais plutot la politique de securité des comptes des developpeurs et contributeurs au projet.

    en tout cas, je suis trés impressionné de voir la reactivité et le degré de surveillance des personnes participants à ce projet, et ca me renforce d'autant plus dans la conviction que le code doit etre ouvert et connu de tous.
    pas comme chez microsoft ou ils n'ont JAMAIS étés capable de corriger le bug du controleur du lecteur de disquette.(un seul exemple suffit, sinon on en sortira jamais. bref.

    corriger des failles et les éliminer progressivmeent au vu et au su de tout le monde, c'est toujours mieux que de laisser des goufres cachés exister sous nos pieds.

    vive php, bravo les gars,et les filles, continuez comme ca!
    le 17/04/2011 à 1:34
  • rushtakn
    Membre actif
    Envoyé par berceker united
    Moi, je propose de garder les oreilles grandes ouvertes pour voir s'il y aura pas d'ici peut de temps une attaque publicitaire de la part de grandes sociétés pour imposer leurs outils dont la sécurité sera mis en avant. En gros sous entendre "Vous avez vu, PHP n'est pas sécurisé, la preuve".
    Il y a pas de fumé sans feux ?
    Il y a pas d'attaque sans intérêt...
    Oui enfin, il faut egalement savoir profiter de toutes les occasions. C'est pas parce des boites essayent de mettre en avant leurs outils suite à cette attaque qu'ils en sont les commanditaires.
    le 22/03/2011 à 13:22
  • Neko
    Membre chevronné
    Envoyé par Flaburgan
    Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...
    Tous les hackers ne sont pas des White hat. On est pas dans le monde de OuiOui ici.

    Envoyé par Flaburgan
    Et puis surtout, pour se faire un nom, il faut revendiquer l'acte.
    Genre comme ajouter son pseudo dans les crédits ?

    Envoyé par Flaburgan
    Attaquer un site open source ternirait le nom plutôt que de le glorifier.
    Ça c'est parceque tu pars du principe que tous les hackers sont super gentils et qu'ils aiment tous l'open source. Mais sur quoi te bases-tu ?
    le 22/03/2011 à 15:37
  • Camille_B
    Membre éclairé
    Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.
    Bah, peut-être pas... Le site pouvait très bien être très vulnérable.
    le 22/03/2011 à 13:43
  • pc.bertineau
    Membre éclairé
    Intéressant le post de Hannes Magnusson qui explique qu'il est difficile de passer inaperçu à faire des commit sur le repo officiel.

    Néanmoins le risque engendré par une faille d'une appli annexe (le wiki) n'aurait pas dû conduire à une intrusion sur le SVN qui reste la référence du langage et de son développement.
    Toujours cette même rengaine sur la sécurité : le niveau d'un système de sécurité est celui du plus faible de ses maillons...
    le 22/03/2011 à 17:27
  • stealth35
    Expert éminent sénior
    Envoyé par rkalonji
    Heureusement qu il existe depuis la version 5.3.5 un petit code interne qui permet l auto audit et il n a détecté aucune anomalie.
    t'as un lien de ça ?
    le 31/03/2011 à 16:48
  Poster une réponse