Discussion :

[Hinault Romaric]

Le serveur de la Free Software Foundation attaqué
Par injections SQL, des identifiants et des mots de passe utilisateurs ont été volés

Le serveur hébergeant le site Gnu.org de la Free Software Foundation a été attaqué.

Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.

Selon la FSF, les pirates ont lancé une attaque de leur serveur le 24 novembre 2010 en utilisant des injections SQL pour télécharger sa base de données.

Les attaquants ont également trouvé un répertoire avec un accès en écriture. Ils ont ensuite essayé plusieurs scripts sur le serveur. Mais la FSF estime que ceux-ci n'ont pas pu avoir accès à la racine du site.

Par mesure de précaution, les administrateurs du serveur Savannah ont du revenir sur toutes les modifications du contenu du serveur depuis le 23 novembre, une journée avant la première attaque.

Matt Lee, directeur de Free Software Foundation, a déclaré que les projets actuels liés au développement de logiciels open source ne sont pas affectés.

La Free Software Foundation n'est pas la seule organisation open-source à avoir été touchée. Il y a de cela quelque mois, les serveurs de la fondation apache ont également été victime des attaques.

On ne sait toujours pas qui en est à l'origine.

Source : Blog de la Free Software Foundation


Et vous ?

Qui peut être d'après vous à l'origine de cette attaque ?
Vous parait-il possible que ces attaques contre deux grands organismes de l'open source soient liées ?


En collaboration avec Gordon Fowler

[Federico_muy_bien]

ça c'est un coup de microsoft !

Blague blague pas taper !

[camus3]

bah oui , faut pas utiliser php ou java m$ n'est pas content ...
vont devoir passer sur .NET les pauvres
Sérieusement aujourd'hui plus personne n'est à l'abri, mêmes des organisations caritatives sont attaquées , on leur fait du chantage au DDOS, etc ...

[redbullch]

C'est inadmissible que des erreurs pareils soient encore possible, cela ne donne vraiment pas une bonne image.

[olivier69]

Des injections SQL ?

C'est encore possible sur des sites institutionnels de laisser des trous de sécurité comme ça ?

Et ben, on peut seulement s’inquiéter de la sécurité de nos données personnelles !

[kedare]

Des injections SQL ?

C'est encore possible sur des sites institutionnels de laisser des trous de sécurité comme ça ?

Et ben, on peut seulement s’inquiéter de la sécurité de nos données personnelles !

Tu n'imagine même pas le nombre de sites qui ont cette faille.... (Bizarrement 90% du temps en PHP....)

[olivier69]

Tu n'imagine même pas le nombre de site qui ont cette faille.... (Bizarrement 90% du temps en PHP....)

Je sais, mais quand même, pas eux...

Ce serait la Hadopi, personne ne serait surpris et ça ferait rire tout le monde, mais là c'est un comble !

Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !

Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casseroles

[HerveThouzard]

Php n'a rien à voir la dedans, le problème c'est le programmeur !

[olivier69]

Php n'a rien à voir la dedans, le problème c'est le programmeur !

Ben non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).

Bref, c'est mal de laisser des trous comme ça, surtout que c'est pas des gamins qui affichent leur 1er Hello World.

[jacqueline]

C'est bien fait pour eux !

Ca les fera peut être bouger au niveau de la sécurité.

" ah ouais, mais on a toujours fait comme ça ! "

Laisser la base de données sur le même serveur avec les données de connection à la base en clair dans un fichier, c'est donner le baton pour se faire battre..

C'est considéré comme un trou de sécurité par le CWE.

Alors qu'avec PostgreSQL on peut utiliser une connection sécurisée avec échange de clés et compléter par les firewalls.

Avec un peu d'imagination, en utilisant les droits on peut créer un sas d'étanchéité entre le php et les connections à la base, tout en controlant les requètes.

Est ce qu 'un Casino garde tout le fric derrière le guichet , avec les clés du coffre derrière le comptoir ?

Bin voilà dans l'info on en est restés à ce stade, parce qu' on a toujours fait comme ça..

La protection informatique est concue comme la ligne Maginot ! on fait le pari qu 'ils ne passeront pas la barrière de protection..

On voit le résultat ( et encore ce ne sont pas les pire en matière de sécurité qui se font avoir ).

Il y a donc bien un problème général :

Après Debian, Redhat, Apache , c'est la FSF

[kaymak]

Ben non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).

Bref, c'est mal de laisser des trous comme ça, surtout que c'est pas des gamins qui affichent leur 1er Hello World.

hello,

Oui, quand on regarde l'application on constate surtout que tout cela ressemble à de vieilles pratiques de développement très désuète, et surtout très difficile à maintenir lorsque le projet s'étoffe.
> http://git.savannah.gnu.org/gitweb/?...ab8bab;hb=HEAD

Il faut aussi prendre en compte que l'équipe en charge de la maintenance de cette application à déjà réalisé un effort pour corriger ces failles.
Cependant cela n'à pas suffit.

D'ailleurs cela n'est pas étonnant, il y'à des requêtes de partout, sa fait des trucs dans tous les sens. Perso je ne serait pas bien à l'aise de maintenir ce projet.

Après, est ce que la couverture de test étaient suffisantes pour détecter ces problèmes en amont ?
Peut être un indice de réponse, je n'en ai pas la certirude
http://git.savannah.gnu.org/gitweb/?...960385;hb=HEAD

a+

[kedare]

Ben non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).

Plus un manque d'organisation du langage qu'une souplesse...

jacqueline: MySQL aussi permet le SSL par échange de clés

[FailMan]

J'ai du mal à voir l'intérêt d'une telle attaque, c'est franchement inutile...

[OWickerman]

Si je comprend bien, des gens se sont cassé la tête pour voler du libre ?

[Flaburgan]

Non, ils ont surtout discréditer le site, et ils ont des données utilisateurs.

[Jbx 2.0b]

Non pas du libre, des données personnelles.

[guidav]

Le but à terme est peut-être aussi de modifier le contenu de certains dépôts. Vous imaginez l'impact d'un sniffer ajouté dans le code d'un soft libre super populaire, modifié directement dans le dépôt officiel ? Et hop, un botnet de serveurs ! Et sur des machines a priori dignes de confiance, en plus.

[Louis Griffont]

Et après on vient nous bassiner que Libre = plus sécurisé !

Va falloir qu'on m'explique, là !

[camus3]

Attention ne pas confondre libre et open source. Le libre doit être open source mais on peut avoir de l'open source non libre.
Quand un produit est open source , tu peux vérifier toi même que le code est sécurisé.
Quand un produit est closed source , tu fais confiance aux développeurs du produit.
Enfin quand un source est dispo en général les utilisateurs sont plus enclins à reporter des failles ou des bugs...

[squelos]

Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !

Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casseroles

Euh, comment dire. La c'est un site qui a été impacté par une attaque ciblée, alors que ton OS proprio a 100%, il peux se faire infecter jusqu'a la moelle en ouvrant un pdf ou en naviguant sur le net.

Sachant que Windows est responsable a pres de 100% des botnets qui existent, on peux en conclure que Windows fournit des outils puissants pour permettre des attaques par DDOS par exemple.

Et la c'est purement la faute aux développeurs de ce site, tandis qu'avec Windows, même en faisant attention et en sachant ce que tu fais, il y a un risque d'infection.

Donc je sais pas qui doit balayer devant sa porte en premier.