Discussion :

[Idelways]

La fondation Linux victime de piratage
De ses serveurs, un mois après l'intrusion dans ceux du noyau Linux



Des pirates se seraient infiltrés dans les serveurs Web de la fondation Linux où étaient hébergés les sites linux.com, linuxfoundation.org et leurs sous domaines, d'après la page de maintenance qui les remplace le temps que tout soit audité et reconfiguré.

La brèche de sécurité a été découverte le 8 septembre et pourrait être corrélée à celle qui a compromis l'intégrité du site Kernel.org le mois passé.
La fondation croit que les noms d'utilisateurs, adresses emails et toute autre information fournie sur Linux.com peuvent avoir été compromis et recommande vivement de remplacer, sur les autres sites, les mêmes mots de passe que ceux utilisés sur Linux.com, même s'ils sont hachés dans la base de données.

Kernel.org, le site officiel du noyau Linux est lui aussi déconnecté depuis le 28 août à la suite d'une intrusion similaire préalable ayant été perpétrée le 12 août après la découverte d'un Trojan sur la machine de l'un des développeurs du Kernel qui se serait propagé vers les serveurs de Kernel.org.

Depuis, les développements sur le Kernel ont été déplacés vers Github, la plateforme collaborative d'hébergement de code, qui propulse environ deux millions de dépôts et surpasse depuis quelques mois en terme d'activité la plateforme SourceForge en perte de vitesse.

La fondation Linux est une organisation non lucrative dédiée à la promotion de Linux et des standards open source. Elle dirige par ailleurs le Linux Developer Network, un réseau d'entraide entre développeurs qui créent des applications libres pour les systèmes d'exploitation Linux.

Sale temps pour le réseau des sites open source officiels, et pour la réputation de leur sécurité ?



Source : linux.com

Et vous ?

Que pensez-vous de cette nouvelle attaque et des répercussions de ces attaques à répétition sur la réputation de la sécurité des logiciels libres et des serveurs sous Linux ?

[Camille_B]

Sale temps pour le réseau des sites open source officiels... et pour la réputation de leur sécurité.

Qu'est-ce que ça vient faire dans la dépêche cette phrase, ces trois petits points ?

C'est simplement ridicule (et trollifère).

Que pensez-vous de cette nouvelle attaque et les répercussions de ces attaques à répétition sur la réputation de la sécurité des logiciels libres et des serveurs sous Linux ?

Les serveurs sous Linux c'est quoi, 70% du web mondial ? Parce que le site kernel.org est attaqué on va piquer une crise ? Un peu de sérieux !

Combien de sites de logiciels propriétaires utilisent Linux ? Une bonne masse. Alors quoi ? Le site de Textmate se fait attaquer demain et on craint pour le proprio, IIS, et les capsules Nescafé ?

[MaelV]

De toute façon rien n'est impiratable. Avec suffisamment de temps, d'imagination et de moyens on peut tout pirater.

Ca n'a rien d'extraordinaire de faire tomber un site web. Mais pourquoi ceux-ci ?

Ce qu'il faut surtout saluer c'est les mesures qui avaient été prise pour le site de Kernel.org. La seule motivation que je peux voir à ce piratage c'est l'injection de code dans le kernel, sauf qu'avec git et tous les contrôles je vois ça presque impossible.
Du coup à quoi bon ? Quel est l'intérêt de faire tomber ces sites. Se rebeller contre l'Open Source ? Mais pour quoi faire ?

[Thes32]

Que pensez-vous de cette nouvelle attaque et les répercussions de ces attaques à répétition sur la réputation de la sécurité des logiciels libres et des serveurs sous Linux ?

ça dépend du type d'attaque et de son origine, si c'est un gars qui s'est procuré des mot passés d'accès SSH ou FTP des serveurs où si ça vient de l'intérieur je vois pas en quoi serait coupable les logiciels libre... Par contre si ça vient d'une faille où d'un autre type de défaut directement lier aux logiciels eux mêmes, à ce moment là c'est une autre histoire...

[Jon Shannow]

Je ne sais pas si cette info peut démontrer quoi que ce soit sur des problèmes de sécurité des logiciels OpenSource. J'en doute.
Mais ce qui me fait bien marrer, c'est la véhémence des interventions des défenseurs de Linux et de l'opensource.

J'imagine que si ça avait été le site de Microsoft, le discours aurait été très différent.

[tdutrion]

J'imagine que si ça avait été le site de Microsoft, le discours aurait été très différent.

Microsoft ne faisant que peu d'open source / de libre, les motivations des hackeurs auraient été plus simple à envisager...

Ici la question qui se pose est quel est l’intérêt de hacker des sites non commerciaux.

[Priato]

J'imagine que si ça avait été le site de Microsoft, le discours aurait été très différent.

C'est pas faux! Mais contrairement à la fondation linux, Microsoft se fait du fric sur chaque utilisateur, et a donc + de moyens à réagir aux attaques.
Il me semble légitime que quand on paye, on ait droit à + de sécurité.

Ce n'est que mon avis et je sens que je vais me faire tapper

[Freem]

J'en pense que la sécurité ultime n'existera sûrement jamais. Il y aura toujours quelqu'un de plus malin que soi, et c'est aussi ce qui fait ce qu'on appelle le progrès. Qu'il soit utilisé dans un sens ou l'autre (bien/mal), ça ne change rien, c'est toujours un progrès technique.

Et une faille découverte implique que des gens vont se pencher sur sa correction, cherchant à comprendre comment l'éviter à l'avenir, augmentant sa sécurité.

Pour que la réputation de sécurité de l'open source soit sérieusement entamée, encore faudrait-il que ce soit les serveurs open-source qui tombent le plus souvent.
Et puis, comme dit plus haut, ça peut être une faille de protocole. Ou une faille d'administration. Ou une faille logicielle, bien entendu.

Mais je ne crois pas que les gens pour l'open source soient (ni ne se réclament) plus intelligents/malins que les autre. Alors dire qu'un truc open source est forcément mieux que du fermé, c'est débile. Chaque modèle a des avantages, et des gens différents.

On peut coder avec les pieds dans un projet open source, comme on peut programmer proprement, avec des tests unitaires et en faisant attention (par exemple, hein, il existe bien d'autres trucs a faire gaffe) aux buffer overflow dans une entreprise.

Ce n'est pas lié au modèle de licence, mais aux compétences et aux contraintes (économiser le temps de sortie initiale, ou celui de débogage?) de l'équipe qui dev!

[Camille_B]

Je ne sais pas si cette info peut démontrer quoi que ce soit sur des problèmes de sécurité des logiciels OpenSource. J'en doute.
Mais ce qui me fait bien marrer, c'est la véhémence des interventions des défenseurs de Linux et de l'opensource.

J'imagine que si ça avait été le site de Microsoft, le discours aurait été très différent.

Puisque d'intervention véhémente jusqu'à la votre il n'y a que la mienne je suppose que vous parlez de moi.

Alors les interventions véhémentes d'un défenseur de Linux et de l'Open-Source vont font marrer ?

Au fait, qu'en savez-vous de mes opinions sur l'Open Source et de mon rapport à Linux ?

Strictement rien. Votre propos n'est qu'un réflexe pavlovien du type : puisqu'il prend la défense de X alors il est contre Y, nécessairement.

Et bien non, voyez-vous. Tout ce que je soulevais ici c'étais l'absurdité de cette dépêche.

N'est-ce pas ce que je dis à la fin de mon intervention avec cette remarque : "avec de tels "raisonnements" si demain on attaque les serveurs du site web de Textmate (logiciel proprio), faut-il craindre pour les serveurs de Microsoft et les capsules Nescafé (brevetées) ?"

Au cas où vous ne l'auriez pas compris il s'agit d'une remarque absurde qui reprend le type de raisonnement de la dépêche pour en montrer l'absurdité.

Donc, oui, si j'avais lu une dépêche du même type un site Microsoft piraté, et si j'avais à ce moment là le temps, j'aurais dit la même chose.

[Aiekick]

Un réseau est vulnérable dès qu'il est accessible !

Que ce soit linux, windows, macos ou autre c'est pareil.

Je comprend pas non plus l'utilité de la dernière phrase.

Un système peut être bien conçu mais mal administré !
Sans plus de détail, aucune conclusion à tirer

[andry.aime]

Bonjour,

Un réseau est vulnérable dès qu'il est accessible !

Accessible par qui?
Un réseau c'est fait pour être accessible par tout le monde ou quelqu'un de privé (lan, wan).
D'ailleurs dire qu'un réseau est vulnérable dès qu'il est accessible, je dit que tu exagères un peu. Perso, je dirai qu'un réseau est vulnérable s'il existe en lui un ou des failles connu(s) sans l'avoir corrigé.

A+.

[Jon Shannow]

Houba Houba Kssss Kssss

[negstek]

Je pense qu'il faut se demander à qui profite ce genre d'acte...

[Jon Shannow]

Je pense qu'il faut se demander à qui profite ce genre d'acte...

Et peut-être aussi se demander si les auteurs de cet acte ont un intérêt, ou simplement, l'envie de réaliser un coup d'éclat.

[enebre]

Voila Linux au pied du mur, il doit maintenant démontrer qu'il est le meilleur système informatique, je suis confiant dans les capacité des développeurs du logiciel Libre et Open Source, pour trouver la solution de sécurité incontournable. La chrysalide arrive à terme, une nouvelle naissance est à prévoir. Courage les geeks.

[jvh45]

Moi qui avais toujours eu une vision de linux comme un système sûr, je trouve ces nouvelles effrayantes.. D'autant que l'os était réputée hors des préoccupations des pirates !

[Floréal]

C'est pas linux qui est mis en cause. c'est la prudence de l'un de ses développeurs.

[Aiekick]

Bonjour,


Accessible par qui?
Un réseau c'est fait pour être accessible par tout le monde ou quelqu'un de privé (lan, wan).
D'ailleurs dire qu'un réseau est vulnérable dès qu'il est accessible, je dit que tu exagères un peu. Perso, je dirai qu'un réseau est vulnérable s'il existe en lui un ou des failles connu(s) sans l'avoir corrigé.

A+.

C'est tout bonnement une règle de base en sécurité informatique.

[Jade_13]

De toute façon rien n'est impiratable. Avec suffisamment de temps, d'imagination et de moyens on peut tout pirater.

Ca n'a rien d'extraordinaire de faire tomber un site web. Mais pourquoi ceux-ci ?

Ce qu'il faut surtout saluer c'est les mesures qui avaient été prise pour le site de Kernel.org. La seule motivation que je peux voir à ce piratage c'est l'injection de code dans le kernel, sauf qu'avec git et tous les contrôles je vois ça presque impossible.
Du coup à quoi bon ? Quel est l'intérêt de faire tomber ces sites. Se rebeller contre l'Open Source ? Mais pour quoi faire ?

Pourquoi ceux-ci et quel est l'intérêt... j'en vois plusieurs..
Le fun, l’exploit (d'un point de vue hacker), un défis parmi tant d'autre...
Les raisons peuvent être nombreuses et variées, cela a permis de montrer des failles de sécurités qui n'avaient pas été prises en compte et qui seront certainement corrigées dans les plus brefs délais (en attendant que d'autres hackers ne se mettent en tête d'en trouver d'autres)

A quand une dépêche du même style pour les serveurs de Crosoft, que l'on marque un point partout (humour)

Bonne journée à tous... ^^

[frantzgac]

Il va de soi que le grand gagnant objectif d'une telle première est LE système que beaucoup d'utilisateurs abandonnent pour cause d'abondance de virus et autres Trojan.

L'un des arguments des Linuxiens était "sans virus". Cet argument est désormais caduque...

Bien sûr les criminologues savent que si un mobile est nécessaire à un crime, il n'en désigne pas à lui seul le coupable.

Disons que Bill doit être heureux que d'autres aient fait ce dont il rêvait... après avoir béni les créateurs de "RSPlug.A".

Morale de cette histoire : Dès qu'une solution alternative à un besoin se développe, elle est aussitôt repérée par les puissants qui soit la détruisent, soit la salissent, soit l'achètent.