IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La fondation Linux victime de piratage
De ses serveurs Web, moins d'un mois après l'intrusion dans ceux du noyau Linux

Le , par Idelways

26PARTAGES

2  4 
Des pirates se seraient infiltrés dans les serveurs Web de la fondation Linux où étaient hébergés les sites linux.com, linuxfoundation.org et leurs sous domaines, d'après la page de maintenance qui les remplace le temps que tout soit audité et reconfiguré.

La brèche de sécurité a été découverte le 8 septembre et pourrait être corrélée à celle qui a compromis l'intégrité du site Kernel.org le mois passé.
La fondation croit que les noms d'utilisateurs, adresses emails et toute autre information fournie sur Linux.com peuvent avoir été compromis et recommande vivement de remplacer, sur les autres sites, les mêmes mots de passe que ceux utilisés sur Linux.com, même s'ils sont hachés dans la base de données.

Kernel.org, le site officiel du noyau Linux est lui aussi déconnecté depuis le 28 août à la suite d'une intrusion similaire préalable ayant été perpétrée le 12 août après la découverte d'un Trojan sur la machine de l'un des développeurs du Kernel qui se serait propagé vers les serveurs de Kernel.org.

Depuis, les développements sur le Kernel ont été déplacés vers Github, la plateforme collaborative d'hébergement de code, qui propulse environ deux millions de dépôts et surpasse depuis quelques mois en terme d'activité la plateforme SourceForge en perte de vitesse.

La fondation Linux est une organisation non lucrative dédiée à la promotion de Linux et des standards open source. Elle dirige par ailleurs le Linux Developer Network, un réseau d'entraide entre développeurs qui créent des applications libres pour les systèmes d'exploitation Linux.

Sale temps pour le réseau des sites open source officiels, et pour la réputation de leur sécurité ?

Source : linux.com

Et vous ?

Que pensez-vous de cette nouvelle attaque et des répercussions de ces attaques à répétition sur la réputation de la sécurité des logiciels libres et des serveurs sous Linux ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de MaelV
Nouveau membre du Club https://www.developpez.com
Le 13/09/2011 à 9:32
De toute façon rien n'est impiratable. Avec suffisamment de temps, d'imagination et de moyens on peut tout pirater.

Ca n'a rien d'extraordinaire de faire tomber un site web. Mais pourquoi ceux-ci ?

Ce qu'il faut surtout saluer c'est les mesures qui avaient été prise pour le site de Kernel.org. La seule motivation que je peux voir à ce piratage c'est l'injection de code dans le kernel, sauf qu'avec git et tous les contrôles je vois ça presque impossible.
Du coup à quoi bon ? Quel est l'intérêt de faire tomber ces sites. Se rebeller contre l'Open Source ? Mais pour quoi faire ?
8  0 
Avatar de Thes32
Expert confirmé https://www.developpez.com
Le 13/09/2011 à 9:49
Citation Envoyé par Idelways Voir le message

Que pensez-vous de cette nouvelle attaque et les répercussions de ces attaques à répétition sur la réputation de la sécurité des logiciels libres et des serveurs sous Linux ?
ça dépend du type d'attaque et de son origine, si c'est un gars qui s'est procuré des mot passés d'accès SSH ou FTP des serveurs où si ça vient de l'intérieur je vois pas en quoi serait coupable les logiciels libre... Par contre si ça vient d'une faille où d'un autre type de défaut directement lier aux logiciels eux mêmes, à ce moment là c'est une autre histoire...
5  0 
Avatar de Freem
Membre émérite https://www.developpez.com
Le 13/09/2011 à 12:05
J'en pense que la sécurité ultime n'existera sûrement jamais. Il y aura toujours quelqu'un de plus malin que soi, et c'est aussi ce qui fait ce qu'on appelle le progrès. Qu'il soit utilisé dans un sens ou l'autre (bien/mal), ça ne change rien, c'est toujours un progrès technique.

Et une faille découverte implique que des gens vont se pencher sur sa correction, cherchant à comprendre comment l'éviter à l'avenir, augmentant sa sécurité.

Pour que la réputation de sécurité de l'open source soit sérieusement entamée, encore faudrait-il que ce soit les serveurs open-source qui tombent le plus souvent.
Et puis, comme dit plus haut, ça peut être une faille de protocole. Ou une faille d'administration. Ou une faille logicielle, bien entendu.

Mais je ne crois pas que les gens pour l'open source soient (ni ne se réclament) plus intelligents/malins que les autre. Alors dire qu'un truc open source est forcément mieux que du fermé, c'est débile. Chaque modèle a des avantages, et des gens différents.

On peut coder avec les pieds dans un projet open source, comme on peut programmer proprement, avec des tests unitaires et en faisant attention (par exemple, hein, il existe bien d'autres trucs a faire gaffe) aux buffer overflow dans une entreprise.

Ce n'est pas lié au modèle de licence, mais aux compétences et aux contraintes (économiser le temps de sortie initiale, ou celui de débogage?) de l'équipe qui dev!
4  0 
Avatar de Camille_B
Membre éclairé https://www.developpez.com
Le 13/09/2011 à 13:54
Je ne sais pas si cette info peut démontrer quoi que ce soit sur des problèmes de sécurité des logiciels OpenSource. J'en doute.
Mais ce qui me fait bien marrer, c'est la véhémence des interventions des défenseurs de Linux et de l'opensource.

J'imagine que si ça avait été le site de Microsoft, le discours aurait été très différent.
Puisque d'intervention véhémente jusqu'à la votre il n'y a que la mienne je suppose que vous parlez de moi.

Alors les interventions véhémentes d'un défenseur de Linux et de l'Open-Source vont font marrer ?

Au fait, qu'en savez-vous de mes opinions sur l'Open Source et de mon rapport à Linux ?

Strictement rien. Votre propos n'est qu'un réflexe pavlovien du type : puisqu'il prend la défense de X alors il est contre Y, nécessairement.

Et bien non, voyez-vous. Tout ce que je soulevais ici c'étais l'absurdité de cette dépêche.

N'est-ce pas ce que je dis à la fin de mon intervention avec cette remarque : "avec de tels "raisonnements" si demain on attaque les serveurs du site web de Textmate (logiciel proprio), faut-il craindre pour les serveurs de Microsoft et les capsules Nescafé (brevetées) ?"

Au cas où vous ne l'auriez pas compris il s'agit d'une remarque absurde qui reprend le type de raisonnement de la dépêche pour en montrer l'absurdité.

Donc, oui, si j'avais lu une dépêche du même type un site Microsoft piraté, et si j'avais à ce moment là le temps, j'aurais dit la même chose.
6  3 
Avatar de Floréal
Membre éclairé https://www.developpez.com
Le 14/09/2011 à 10:31
C'est pas linux qui est mis en cause. c'est la prudence de l'un de ses développeurs.
4  1 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 14/09/2011 à 19:45
Citation Envoyé par andry.aime Voir le message
Bonjour,

Accessible par qui?
Un réseau c'est fait pour être accessible par tout le monde ou quelqu'un de privé (lan, wan).
D'ailleurs dire qu'un réseau est vulnérable dès qu'il est accessible, je dit que tu exagères un peu. Perso, je dirai qu'un réseau est vulnérable s'il existe en lui un ou des failles connu(s) sans l'avoir corrigé.

A+.
C'est tout bonnement une règle de base en sécurité informatique.
2  0 
Avatar de abriotde
Membre chevronné https://www.developpez.com
Le 20/09/2011 à 13:44
A quand une dépêche du même style pour les serveurs de Crosoft, que l'on marque un point partout.

C'est simple, jamais. Microsoft ne dirait rien de tout cela au public. Exp : C'est Google qui a révélé que ses comptes avaient été piratés par des faux certificats SSL alors que hotmail était pareillement touché. Il faut la contrainte (Que les hackers proclament leur exploit) pour que Micro$oft "révèle" quoi que ce soit.

PS : Pour Apple c'est pire. Ils nieraient même avec des preuves. Exp : les surchauffe d'iPod/iPhone, les bug d'horloges de l'iPhone... et j'en passe.
4  2 
Avatar de negstek
Membre confirmé https://www.developpez.com
Le 14/09/2011 à 9:11
Je pense qu'il faut se demander à qui profite ce genre d'acte...
1  0 
Avatar de Chuck_Norris
Membre émérite https://www.developpez.com
Le 15/09/2011 à 23:04
Citation Envoyé par negstek Voir le message
j'ai lu quelques part que mainteneant M$ fait partie des trois plus grands contributeurs du noyau (cf votre site préféré...)

comme quoi faut pas s'imaginer des trucs et potasser un peu plus l'actu
Faut un peu arrêter avec ce délire. Microsoft s'est uniquement occupé de l'implémentation de leurs propres patchs pour leur propre technologie Hyper-V uniquement et rien d'autre, et s'il y a eu une très grande quantité de commits de leur part, c'est parce qu'il leur aura fallu je ne sais combien d'essais pour mettre leur bouse au point (et s'accorder avec les normes de codage du noyau en passant). Ce très grand nombre d'essais les a mis statistiquement dans le top des plus gros contributeurs. Aller prétendre qu'ils sont devenus un acteur majeur du développement de noyau serait soit chercher à faire de la grosse provocation pour éprouver les nerfs des linuxiens, soit souffrir de fanboyisme aggravé.

Maintenant, ceci dit, qui sait ? Peut-être que le hack est fait par des white hats qui voudraient justement effacer toute trace de code Microsoft dans le noyau pour le bien de tous ?
4  3 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 13/09/2011 à 19:13
Un réseau est vulnérable dès qu'il est accessible !

Que ce soit linux, windows, macos ou autre c'est pareil.

Je comprend pas non plus l'utilité de la dernière phrase.

Un système peut être bien conçu mais mal administré !
Sans plus de détail, aucune conclusion à tirer
1  1