PHP : Le site officiel piraté et le code source du langage compromis

[Idelways]

PHP : Le site officiel piraté et le code source du langage compromis
Les attaques contre les logiciels libres s'intensifient



Le système de Wiki utilisé par le site officiel du langage PHP aurait été compromis, permettant le vol de codes d'accès aux dépôts des sources du langage. L'intention était certainement d’insérer subrepticement des portes dérobées dans les prochaines versions.

Le site PHP.net (indisponible durant 4 jours) subit actuellement un audit complet. Les commits à la base de code du langage depuis la version 5.3.5 sont passées au peigne fin pour y déceler la moindre modification malicieuse.

Tous les intervenants sur le code source de PHP sont par ailleurs forcés de changer leurs codes d'identification Subversion.

L'équipe de PHP communique avec parcimonie sur cette attaque et n'a publié pour l'heure qu'une brève note de sécurité. On sait toutefois que l'attaque a été rendue possible grâce à un double exploit, sur DokuWiki et une autre faille sur le système Linux sous-jacent, permettant l'élévation des privilèges.

Pour l'heure, la seule modification douteuse trouvée dans le code source de PHP 5.3.6, sortie récemment, est l'ajout du nom « Wolegequ Gelivable » aux crédits d'une partie spécifique du code.
Il s'agit probablement d'une tentative discrète de confirmer la validité des codes d'accès volés en vue d'effectuer d'autres commits avec du code malicieux.

Cette affaire a été mise en lumière par la firme de sécurité française Vupen Security qui soupçonne, dans une déclaration à la presse, un hacker chinois d'être à l'origine de cette attaque.

Des spéculations fusent sur la toile quant à une possible implication du gouvernement chinois qui souhaiterait, selon certaines rumeurs, insérer des portes dérobées permettant de compromettre plus facilement les sites web.
Aucune de ces spéculations n'est cependant accompagnée de preuves concrètes.

L'affaire fait en tout cas penser à celle du piratage des serveurs de la Free Software Foundation en décembre dernier.

Source : Note de sécurité de PHP.net

Et vous ?

Que vous inspire ces attaques ?

[berceker united]

J'espère que cela fera réfléchir certaine personnes quand ils se lancent dans un sujet du genre Windows vs Linux en sortant des arguments que Linux = sécurité. L'OS aide à la sécurité, l'homme sécurise. Si ce dernier ne sait pas prendre son rôle en mains, cela ne change pas grand chose. Néanmoins, personne n'est parfait.

Pour en revenir à cette affaire, il faut se pose la question de : A qui profite le crime ? Pourquoi cette attaque ?

Moi, je propose de garder les oreilles grandes ouvertes pour voir s'il y aura pas d'ici peut de temps une attaque publicitaire de la part de grandes sociétés pour imposer leurs outils dont la sécurité sera mis en avant. En gros sous entendre "Vous avez vu, PHP n'est pas sécurisé, la preuve".
Il y a pas de fumé sans feux ?
Il y a pas d'attaque sans intérêt...

[siger95]

par contre l'avantage c'est que comme le code est libre le nombre de personnes qui peuvent l'auditer est plus grand . Le libre aurait la réputation de réagir plus vite. Là on va voir si c'est le cas. Mais en effet ça rappelle que le libre est autant exposé que les autres.

[Benjamin Delespierre]

Je me demande s'il s'agit d'un cas isolé ou si d'autres langages ont déjà subi une attaque similaire. J'espère que cette attaque ne va pas compromettre l'avancée de PHP ni retarder les développements sur la version 6.

[stealth35]

Citation:

Envoyé par Benjamin Delespierre

ni retarder les développements sur la version 6.

5.4

[Benjamin Delespierre]

Désolé, je me suis perdu dans les dénominations...

[rushtakn]

Citation:

Envoyé par berceker united

Moi, je propose de garder les oreilles grandes ouvertes pour voir s'il y aura pas d'ici peut de temps une attaque publicitaire de la part de grandes sociétés pour imposer leurs outils dont la sécurité sera mis en avant. En gros sous entendre "Vous avez vu, PHP n'est pas sécurisé, la preuve".
Il y a pas de fumé sans feux ?
Il y a pas d'attaque sans intérêt...

Oui enfin, il faut egalement savoir profiter de toutes les occasions. C'est pas parce des boites essayent de mettre en avant leurs outils suite à cette attaque qu'ils en sont les commanditaires.

[Totony]

Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.

[berceker united]

Citation:

Envoyé par rushtakn

Oui enfin, il faut egalement savoir profiter de toutes les occasions. C'est pas parce des boites essayent de mettre en avant leurs outils suite à cette attaque qu'ils en sont les commanditaires.

Attention, je n'ai jamais dit cela. Je dis juste qu'il faut surveiller les prochaines annonces type marketing pour se demander s'il y a pas une affaire lié à cette attaque. Même s'il y avait une annonce, je n'ai aucune preuve pour accuser. On pourra dire seulement, "troublante coïncidence". Je demande juste d'ouvrir les oreilles.

[Camille_B]

Citation:

Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.

Bah, peut-être pas... Le site pouvait très bien être très vulnérable.

[berceker united]

Citation:

Envoyé par Totony

Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.

C'est exactement cette question que je me pose. Je vois pas l'intérêt de s'y attaquer. A qui cela pourrait profiter. Il se pourrait que cela soit lié à un conflit interne comme cela est déjà arrivé.
Pour ceux qui connaisse, les fans de flight simulator ont un site ou il y a toute les sources concernant les Add-on de ce jeux. Ils stockent des milliers teras de données. En 2009 ou 2010 une grosse partie des sources avaient disparu à cause d'un conflit interne. Un responsable a piraté le site pour pouvoir la copier avant de partir.
Edit : Le site en question est avsim.com

[Neko]

Citation:

Envoyé par berceker united

C'est exactement cette question que je me pose. Je vois pas l'intérêt de s'y attaquer. A qui cela pourrait profiter. Il se pourrait que cela soit lié à un conflit interne comme cela est déjà arrivé.
...

Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.

[Flaburgan]

Citation:

Envoyé par Neko

Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.

Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...
Et puis surtout, pour se faire un nom, il faut revendiquer l'acte. Attaquer un site open source ternirait le nom plutôt que de le glorifier.

[berceker united]

Citation:

Envoyé par Neko

Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.

Se faire un nom en attaquant ce genre de site serait plutôt suicidaire pour lui. Même sa brosse à dent électrique sera hacké.

[yostane]

Citation:

J'espère que cela fera réfléchir certaine personnes quand ils se lancent dans un sujet du genre Windows vs Linux en sortant des arguments que Linux = sécurité. L'OS aide à la sécurité, l'homme sécurise. Si ce dernier ne sait pas prendre son rôle en mains, cela ne change pas grand chose. Néanmoins, personne n'est parfait.

De toute façon, on ne peut pas échapper au piratage, et je pense que PHP sous windows est plus facilement piratable que PHP sous Lnix.
Le plus important maintenant c'est de traiter ce problème au plus vite.

[Shikiryu]

Perso, ça ne m'effraie pas plus que ça.

Pourquoi ?
Parce que l'attaque s'est déroulée via un commit du code source de PHP dans le SVN officiel.

Commit qui d'une part est :

• réversible (hop un revert et c'est finit)
• trackable (car envoyé à des mailing list)
• non mystérieux (on voit les changements dans les logs de chaque commit)

Hannes Magnusson est la personne qui s'est fait "hacké" son compte SVN de PHP.net et l'explique ici

La sécurité de PHP n'est donc pas mise en cause pour les prochaines versions et la sécurité de leur SVN sera peut-être améliorée comme ça.

[Uther]

Certes, mais les gens qui gèrent PHP ont tout de même eu la chance de s'en apercevoir. Si le hack de ce cher Hannes Magnusson était passé inapercu, il aurait pu permettre insérer une backdoor discrète dans PHP.

[Shikiryu]

Comme il le dit dans son article, ça montre un peu le sérieux des développeurs de PHP. En effet, en moins de 10 minutes, 3 d'entre eux ont signalé l'anormalité (Hannes Magnusson ne devant rien faire depuis quelques temps). En même temps, tous les dev recevant les différents commit via une mailing list peuvent voir si leur nom est utilisé et si les intitulés des commit sont les leurs.

De plus, je connais des gens sur le chat de StackOverflow qui surveillent eux-même les différents commit du SVN de PHP (et ils ne font pas partie de leur dev, même si un d'entre eux travaille pour Zend).

Je ne pense pas qu'être alarmiste, ici, soit recommandé àmha.

[alain31tl]

La chine était déjà suspectée dans la pseudo-affaire d'espionnage chez Renault, et ensuite cet état de fait a été démenti.
Ceci étant, c'est vrai qu'ils sont friands de tout ce qui se passe dans ce monde et archivent tout ce qui leur vient sous la main.
Je parierais presque que nous sommes déjà tous répertoriés dans leurs bases de données.
D'ailleurs ils emploient des centaines de personnes pour alimenter celles-ci.
Ils ne connaissent pas la cnil, eux.

[Neko]

Citation:

Envoyé par Flaburgan

Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...

Tous les hackers ne sont pas des White hat. On est pas dans le monde de OuiOui ici.

Citation:

Envoyé par Flaburgan

Et puis surtout, pour se faire un nom, il faut revendiquer l'acte.

Genre comme ajouter son pseudo dans les crédits ?

Citation:

Envoyé par Flaburgan

Attaquer un site open source ternirait le nom plutôt que de le glorifier.

Ça c'est parceque tu pars du principe que tous les hackers sont super gentils et qu'ils aiment tous l'open source. Mais sur quoi te bases-tu ?