Le serveur de la Free Software Foundation attaqué

Hinault Romaric · 02/12/2010, 17h22

Le serveur de la Free Software Foundation attaqué
Par injections SQL, des identifiants et des mots de passe utilisateurs ont été volés

Le serveur hébergeant le site Gnu.org de la Free Software Foundation a été attaqué.

Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.

Selon la FSF, les pirates ont lancé une attaque de leur serveur le 24 novembre 2010 en utilisant des injections SQL pour télécharger sa base de données.

Les attaquants ont également trouvé un répertoire avec un accès en écriture. Ils ont ensuite essayé plusieurs scripts sur le serveur. Mais la FSF estime que ceux-ci n'ont pas pu avoir accès à la racine du site.

Par mesure de précaution, les administrateurs du serveur Savannah ont du revenir sur toutes les modifications du contenu du serveur depuis le 23 novembre, une journée avant la première attaque.

Matt Lee, directeur de Free Software Foundation, a déclaré que les projets actuels liés au développement de logiciels open source ne sont pas affectés.

La Free Software Foundation n'est pas la seule organisation open-source à avoir été touchée. Il y a de cela quelque mois, les serveurs de la fondation apache ont également été victime des attaques.

On ne sait toujours pas qui en est à l'origine.

Source : Blog de la Free Software Foundation

Et vous ?

Qui peut être d'après vous à l'origine de cette attaque ?

Vous parait-il possible que ces attaques contre deux grands organismes de l'open source soient liées ?

En collaboration avec Gordon Fowler

Federico_muy_bien · 02/12/2010, 17h34

ça c'est un coup de microsoft !

Blague blague pas taper !

camus3 · 02/12/2010, 17h59

bah oui , faut pas utiliser php ou java

m$ n'est pas content ...
vont devoir passer sur .NET les pauvres

Sérieusement aujourd'hui plus personne n'est à l'abri, mêmes des organisations caritatives sont attaquées , on leur fait du chantage au DDOS, etc ...

redbullch · 02/12/2010, 18h22

C'est inadmissible que des erreurs pareils soient encore possible, cela ne donne vraiment pas une bonne image.

olivier69 · 02/12/2010, 18h33

Des injections SQL ?

C'est encore possible sur des sites institutionnels de laisser des trous de sécurité comme ça ?

Et ben, on peut seulement s’inquiéter de la sécurité de nos données personnelles !

kedare · 02/12/2010, 18h50

Citation:

Envoyé par olivier69

Des injections SQL ?

C'est encore possible sur des sites institutionnels de laisser des trous de sécurité comme ça ?

Et ben, on peut seulement s’inquiéter de la sécurité de nos données personnelles !

Tu n'imagine même pas le nombre de sites qui ont cette faille....

(Bizarrement 90% du temps en PHP....)

olivier69 · 02/12/2010, 18h53

Citation:

Envoyé par kedare

Tu n'imagine même pas le nombre de site qui ont cette faille....

(Bizarrement 90% du temps en PHP....)

Je sais, mais quand même, pas eux...

Ce serait la Hadopi, personne ne serait surpris et ça ferait rire tout le monde, mais là c'est un comble !

Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !

Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casseroles

HerveThouzard · 02/12/2010, 19h46

Php n'a rien à voir la dedans, le problème c'est le programmeur !

olivier69 · 02/12/2010, 20h40

Citation:

Envoyé par HerveThouzard

Php n'a rien à voir la dedans, le problème c'est le programmeur !

Ben non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).

Bref, c'est mal de laisser des trous comme ça, surtout que c'est pas des gamins qui affichent leur 1er Hello World.

jacqueline · 02/12/2010, 21h21

C'est bien fait pour eux !

Ca les fera peut être bouger au niveau de la sécurité.

" ah ouais, mais on a toujours fait comme ça ! "

Laisser la base de données sur le même serveur avec les données de connection à la base en clair dans un fichier, c'est donner le baton pour se faire battre..

C'est considéré comme un trou de sécurité par le CWE.

Alors qu'avec PostgreSQL on peut utiliser une connection sécurisée avec échange de clés et compléter par les firewalls.

Avec un peu d'imagination, en utilisant les droits on peut créer un sas d'étanchéité entre le php et les connections à la base, tout en controlant les requètes.

Est ce qu 'un Casino garde tout le fric derrière le guichet , avec les clés du coffre derrière le comptoir ?

Bin voilà dans l'info on en est restés à ce stade, parce qu' on a toujours fait comme ça..

La protection informatique est concue comme la ligne Maginot ! on fait le pari qu 'ils ne passeront pas la barrière de protection..

On voit le résultat ( et encore ce ne sont pas les pire en matière de sécurité qui se font avoir ).

Il y a donc bien un problème général :

Après Debian, Redhat, Apache , c'est la FSF

kaymak · 02/12/2010, 21h23

Citation:

Envoyé par olivier69

Ben non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).

Bref, c'est mal de laisser des trous comme ça, surtout que c'est pas des gamins qui affichent leur 1er Hello World.

hello,

Oui, quand on regarde l'application on constate surtout que tout cela ressemble à de vieilles pratiques de développement très désuète, et surtout très difficile à maintenir lorsque le projet s'étoffe.
> http://git.savannah.gnu.org/gitweb/?...ab8bab;hb=HEAD

Il faut aussi prendre en compte que l'équipe en charge de la maintenance de cette application à déjà réalisé un effort pour corriger ces failles.
Cependant cela n'à pas suffit.

D'ailleurs cela n'est pas étonnant, il y'à des requêtes de partout, sa fait des trucs dans tous les sens. Perso je ne serait pas bien à l'aise de maintenir ce projet.

Après, est ce que la couverture de test étaient suffisantes pour détecter ces problèmes en amont ?
Peut être un indice de réponse, je n'en ai pas la certirude
http://git.savannah.gnu.org/gitweb/?...960385;hb=HEAD

a+

kedare · 02/12/2010, 22h18

Citation:

Envoyé par olivier69

Ben non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).

Plus un manque d'organisation du langage qu'une souplesse...

jacqueline: MySQL aussi permet le SSL par échange de clés

FailMan · 03/12/2010, 09h00

J'ai du mal à voir l'intérêt d'une telle attaque, c'est franchement inutile...

OWickerman · 03/12/2010, 09h09

Si je comprend bien, des gens se sont cassé la tête pour voler du libre ?

Flaburgan · 03/12/2010, 09h53

Non, ils ont surtout discréditer le site, et ils ont des données utilisateurs.

jbx2004 · 03/12/2010, 10h01

Non pas du libre, des données personnelles.

guidav · 03/12/2010, 10h44

Le but à terme est peut-être aussi de modifier le contenu de certains dépôts. Vous imaginez l'impact d'un sniffer ajouté dans le code d'un soft libre super populaire, modifié directement dans le dépôt officiel ? Et hop, un botnet de serveurs ! Et sur des machines a priori dignes de confiance, en plus.

Louis Griffont · 03/12/2010, 10h58

Et après on vient nous bassiner que Libre = plus sécurisé !

Va falloir qu'on m'explique, là !

camus3 · 03/12/2010, 11h14

Attention ne pas confondre libre et open source. Le libre doit être open source mais on peut avoir de l'open source non libre.
Quand un produit est open source , tu peux vérifier toi même que le code est sécurisé.
Quand un produit est closed source , tu fais confiance aux développeurs du produit.

Enfin quand un source est dispo en général les utilisateurs sont plus enclins à reporter des failles ou des bugs...

squelos · 03/12/2010, 11h16

Citation:

Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !

Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casseroles

Euh, comment dire. La c'est un site qui a été impacté par une attaque ciblée, alors que ton OS proprio a 100%, il peux se faire infecter jusqu'a la moelle en ouvrant un pdf ou en naviguant sur le net.

Sachant que Windows est responsable a pres de 100% des botnets qui existent, on peux en conclure que Windows fournit des outils puissants pour permettre des attaques par DDOS par exemple.

Et la c'est purement la faute aux développeurs de ce site, tandis qu'avec Windows, même en faisant attention et en sachant ce que tu fais, il y a un risque d'infection.

Donc je sais pas qui doit balayer devant sa porte en premier.

02/12/2010, 17h22	#1
Hinault Romaric Chroniqueur Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 113 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 113 Points : 30 974 Points : 30 974	Le serveur de la Free Software Foundation attaqué Le serveur de la Free Software Foundation attaqué Par injections SQL, des identifiants et des mots de passe utilisateurs ont été volés Le serveur hébergeant le site Gnu.org de la Free Software Foundation a été attaqué. Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés. Selon la FSF, les pirates ont lancé une attaque de leur serveur le 24 novembre 2010 en utilisant des injections SQL pour télécharger sa base de données. Les attaquants ont également trouvé un répertoire avec un accès en écriture. Ils ont ensuite essayé plusieurs scripts sur le serveur. Mais la FSF estime que ceux-ci n'ont pas pu avoir accès à la racine du site. Par mesure de précaution, les administrateurs du serveur Savannah ont du revenir sur toutes les modifications du contenu du serveur depuis le 23 novembre, une journée avant la première attaque. Matt Lee, directeur de Free Software Foundation, a déclaré que les projets actuels liés au développement de logiciels open source ne sont pas affectés. La Free Software Foundation n'est pas la seule organisation open-source à avoir été touchée. Il y a de cela quelque mois, les serveurs de la fondation apache ont également été victime des attaques. On ne sait toujours pas qui en est à l'origine. Source : Blog de la Free Software Foundation Et vous ? Qui peut être d'après vous à l'origine de cette attaque ? Vous parait-il possible que ces attaques contre deux grands organismes de l'open source soient liées ? En collaboration avec Gordon Fowler __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	50

02/12/2010, 17h34	#2
Federico_muy_bien Membre habitué $USER Inscription : avril 2009 Messages : 140 Détails du profil Informations personnelles : Nom : $USER Âge : 25 Informations forums : Inscription : avril 2009 Messages : 140 Points : 119 Points : 119	ça c'est un coup de microsoft ! Blague blague pas taper ! __________________ La programmation aujourd’hui est une course entre les développeurs tâchant de concevoir des programmes de plus en plus nombreux et efficaces, convenant même aux imbéciles, et l’univers essayant de produire des idiots de plus en plus nombreux et efficaces. Jusqu’à présent, c’est l’univers qui gagne.
	21

02/12/2010, 18h22	#4
redbullch Membre confirmé Inscription : octobre 2010 Messages : 37 Détails du profil Informations personnelles : Sexe : Localisation : Suisse Informations forums : Inscription : octobre 2010 Messages : 37 Points : 217 Points : 217	C'est inadmissible que des erreurs pareils soient encore possible, cela ne donne vraiment pas une bonne image.
	32

03/12/2010, 09h00	#13
FailMan Expert Confirmé Enguerrand Schmidt Administrateur systèmes et réseaux Inscription : janvier 2010 Messages : 1 577 Détails du profil Informations personnelles : Nom : Enguerrand Schmidt Âge : 20 Localisation : France Informations professionnelles : Activité : Administrateur systèmes et réseaux Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2010 Messages : 1 577 Points : 3 403 Points : 3 403	J'ai du mal à voir l'intérêt d'une telle attaque, c'est franchement inutile... __________________ Une erreur fréquente que les gens font quand ils tentent de réaliser quelque chose à l'épreuve des imbéciles est de sous-estimer l'ingéniosité de ceux-ci. - Douglas Adams Utilisateur OS X, Windows et Debian
	03

03/12/2010, 09h09	#14
OWickerman Membre éclairé Inscription : décembre 2007 Messages : 222 Détails du profil Informations forums : Inscription : décembre 2007 Messages : 222 Points : 310 Points : 310	Si je comprend bien, des gens se sont cassé la tête pour voler du libre ? __________________ La sécurité de l'emploi "Ce n’est pas une pratique médicale sensée que de risquer sa vie en se soumettant à une intervention probablement inefficace afin d’éviter une maladie qui ne surviendra vraisemblablement jamais." Docteur Kris Gaublomme, médecin belge ("Vaccins et maladies auto-immunes")
	12

02/12/2010, 17h59	#3
camus3 Membre expérimenté Inscription : juillet 2010 Messages : 392 Détails du profil Informations forums : Inscription : juillet 2010 Messages : 392 Points : 538 Points : 538	bah oui , faut pas utiliser php ou java m$ n'est pas content ... vont devoir passer sur .NET les pauvres Sérieusement aujourd'hui plus personne n'est à l'abri, mêmes des organisations caritatives sont attaquées , on leur fait du chantage au DDOS, etc ...
	01

02/12/2010, 18h33	#5
olivier69 Membre du Club Olivier Inscription : janvier 2009 Messages : 34 Détails du profil Informations personnelles : Nom : Olivier Âge : 36 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : janvier 2009 Messages : 34 Points : 44 Points : 44	Des injections SQL ? C'est encore possible sur des sites institutionnels de laisser des trous de sécurité comme ça ? Et ben, on peut seulement s’inquiéter de la sécurité de nos données personnelles !
	21

02/12/2010, 19h46	#8
HerveThouzard Futur Membre du Club Hervé Thouzard Développeur Web Inscription : mai 2008 Messages : 21 Détails du profil Informations personnelles : Nom : Hervé Thouzard Âge : 42 Localisation : France, Maine et Loire (Pays de la Loire) Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : mai 2008 Messages : 21 Points : 18 Points : 18	Php n'a rien à voir la dedans, le problème c'est le programmeur !
	22

02/12/2010, 21h21	#10
jacqueline Membre habitué Inscription : septembre 2008 Messages : 70 Détails du profil Informations forums : Inscription : septembre 2008 Messages : 70 Points : 105 Points : 105	C'est bien fait pour eux ! Ca les fera peut être bouger au niveau de la sécurité. " ah ouais, mais on a toujours fait comme ça ! " Laisser la base de données sur le même serveur avec les données de connection à la base en clair dans un fichier, c'est donner le baton pour se faire battre.. C'est considéré comme un trou de sécurité par le CWE. Alors qu'avec PostgreSQL on peut utiliser une connection sécurisée avec échange de clés et compléter par les firewalls. Avec un peu d'imagination, en utilisant les droits on peut créer un sas d'étanchéité entre le php et les connections à la base, tout en controlant les requètes. Est ce qu 'un Casino garde tout le fric derrière le guichet , avec les clés du coffre derrière le comptoir ? Bin voilà dans l'info on en est restés à ce stade, parce qu' on a toujours fait comme ça.. La protection informatique est concue comme la ligne Maginot ! on fait le pari qu 'ils ne passeront pas la barrière de protection.. On voit le résultat ( et encore ce ne sont pas les pire en matière de sécurité qui se font avoir ). Il y a donc bien un problème général : Après Debian, Redhat, Apache , c'est la FSF
	33

03/12/2010, 09h53	#15
Flaburgan Modérateur Développeur informatique Inscription : avril 2010 Messages : 1 037 Détails du profil Informations personnelles : Sexe : Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Électronique et micro-électronique Informations forums : Inscription : avril 2010 Messages : 1 037 Points : 2 479 Points : 2 479	Non, ils ont surtout discréditer le site, et ils ont des données utilisateurs. __________________ "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla Je soutiens Diaspora*, le réseau social libre. Veillez à porter une attention toute particulière à l'orthographe... Blog collaboratif avec des amis : http://geexxx.fr
	31

03/12/2010, 10h01	#16
jbx2004 Membre éprouvé Développeur C++/Qt/OpenGL Inscription : septembre 2002 Messages : 229 Détails du profil Informations personnelles : Sexe : Âge : 30 Localisation : France Informations professionnelles : Activité : Développeur C++/Qt/OpenGL Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : septembre 2002 Messages : 229 Points : 464 Points : 464	Non pas du libre, des données personnelles.
	20

03/12/2010, 10h44	#17
guidav Membre chevronné Inscription : janvier 2006 Messages : 916 Détails du profil Informations forums : Inscription : janvier 2006 Messages : 916 Points : 731 Points : 731	Le but à terme est peut-être aussi de modifier le contenu de certains dépôts. Vous imaginez l'impact d'un sniffer ajouté dans le code d'un soft libre super populaire, modifié directement dans le dépôt officiel ? Et hop, un botnet de serveurs ! Et sur des machines a priori dignes de confiance, en plus.
	31

03/12/2010, 10h58	#18
Louis Griffont Inactif Inscription : février 2003 Messages : 4 342 Détails du profil Informations forums : Inscription : février 2003 Messages : 4 342 Points : 4 028 Points : 4 028	Et après on vient nous bassiner que Libre = plus sécurisé ! Va falloir qu'on m'explique, là !
	312

03/12/2010, 11h14	#19
camus3 Membre expérimenté Inscription : juillet 2010 Messages : 392 Détails du profil Informations forums : Inscription : juillet 2010 Messages : 392 Points : 538 Points : 538	Attention ne pas confondre libre et open source. Le libre doit être open source mais on peut avoir de l'open source non libre. Quand un produit est open source , tu peux vérifier toi même que le code est sécurisé. Quand un produit est closed source , tu fais confiance aux développeurs du produit. Enfin quand un source est dispo en général les utilisateurs sont plus enclins à reporter des failles ou des bugs...
	21

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email