IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Le serveur de la Free Software Foundation attaqué

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 325
    Points
    252 325
    Billets dans le blog
    117
    Par défaut Le serveur de la Free Software Foundation attaqué
    Le serveur de la Free Software Foundation attaqué
    Par injections SQL, des identifiants et des mots de passe utilisateurs ont été volés

    Le serveur hébergeant le site Gnu.org de la Free Software Foundation a été attaqué.

    Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.

    Selon la FSF, les pirates ont lancé une attaque de leur serveur le 24 novembre 2010 en utilisant des injections SQL pour télécharger sa base de données.

    Les attaquants ont également trouvé un répertoire avec un accès en écriture. Ils ont ensuite essayé plusieurs scripts sur le serveur. Mais la FSF estime que ceux-ci n'ont pas pu avoir accès à la racine du site.

    Par mesure de précaution, les administrateurs du serveur Savannah ont du revenir sur toutes les modifications du contenu du serveur depuis le 23 novembre, une journée avant la première attaque.

    Matt Lee, directeur de Free Software Foundation, a déclaré que les projets actuels liés au développement de logiciels open source ne sont pas affectés.

    La Free Software Foundation n'est pas la seule organisation open-source à avoir été touchée. Il y a de cela quelque mois, les serveurs de la fondation apache ont également été victime des attaques.

    On ne sait toujours pas qui en est à l'origine.

    Source : Blog de la Free Software Foundation


    Et vous ?

    Qui peut être d'après vous à l'origine de cette attaque ?
    Vous parait-il possible que ces attaques contre deux grands organismes de l'open source soient liées ?


    En collaboration avec Gordon Fowler
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre habitué Avatar de Federico_muy_bien
    Profil pro
    Inscrit en
    avril 2009
    Messages
    154
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France

    Informations forums :
    Inscription : avril 2009
    Messages : 154
    Points : 174
    Points
    174
    Par défaut
    ça c'est un coup de microsoft !

    Blague blague pas taper !
    La programmation aujourd’hui est une course entre les développeurs tâchant de concevoir des programmes de plus en plus nombreux et efficaces, convenant même aux imbéciles, et l’univers essayant de produire des idiots de plus en plus nombreux et efficaces. Jusqu’à présent, c’est l’univers qui gagne.

  3. #3
    Membre éprouvé
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    657
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2010
    Messages : 657
    Points : 1 237
    Points
    1 237
    Par défaut
    bah oui , faut pas utiliser php ou java m$ n'est pas content ...
    vont devoir passer sur .NET les pauvres
    Sérieusement aujourd'hui plus personne n'est à l'abri, mêmes des organisations caritatives sont attaquées , on leur fait du chantage au DDOS, etc ...

  4. #4
    Membre confirmé
    Homme Profil pro
    Inscrit en
    octobre 2010
    Messages
    83
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : octobre 2010
    Messages : 83
    Points : 535
    Points
    535
    Par défaut
    C'est inadmissible que des erreurs pareils soient encore possible, cela ne donne vraiment pas une bonne image.
    les algorithmes qui oublient leur histoire sont condamnés à la répéter

  5. #5
    Membre du Club
    Profil pro
    Inscrit en
    janvier 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Âge : 45
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : janvier 2009
    Messages : 39
    Points : 56
    Points
    56
    Par défaut
    Des injections SQL ?

    C'est encore possible sur des sites institutionnels de laisser des trous de sécurité comme ça ?

    Et ben, on peut seulement s’inquiéter de la sécurité de nos données personnelles !

  6. #6
    Membre chevronné
    Avatar de kedare
    Homme Profil pro
    Network Automation Engineer
    Inscrit en
    juillet 2005
    Messages
    1 541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Network Automation Engineer

    Informations forums :
    Inscription : juillet 2005
    Messages : 1 541
    Points : 1 774
    Points
    1 774
    Par défaut
    Citation Envoyé par olivier69 Voir le message
    Des injections SQL ?

    C'est encore possible sur des sites institutionnels de laisser des trous de sécurité comme ça ?

    Et ben, on peut seulement s’inquiéter de la sécurité de nos données personnelles !
    Tu n'imagine même pas le nombre de sites qui ont cette faille.... (Bizarrement 90% du temps en PHP....)

  7. #7
    Membre du Club
    Profil pro
    Inscrit en
    janvier 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Âge : 45
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : janvier 2009
    Messages : 39
    Points : 56
    Points
    56
    Par défaut
    Citation Envoyé par kedare Voir le message
    Tu n'imagine même pas le nombre de site qui ont cette faille.... (Bizarrement 90% du temps en PHP....)
    Je sais, mais quand même, pas eux...

    Ce serait la Hadopi, personne ne serait surpris et ça ferait rire tout le monde, mais là c'est un comble !

    Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !

    Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casseroles

  8. #8
    Nouveau membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    mai 2008
    Messages
    21
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2008
    Messages : 21
    Points : 27
    Points
    27
    Par défaut
    Php n'a rien à voir la dedans, le problème c'est le programmeur !

  9. #9
    Membre du Club
    Profil pro
    Inscrit en
    janvier 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Âge : 45
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : janvier 2009
    Messages : 39
    Points : 56
    Points
    56
    Par défaut
    Citation Envoyé par HerveThouzard Voir le message
    Php n'a rien à voir la dedans, le problème c'est le programmeur !
    Ben non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).

    Bref, c'est mal de laisser des trous comme ça, surtout que c'est pas des gamins qui affichent leur 1er Hello World.

  10. #10
    Membre habitué
    Profil pro
    Inscrit en
    septembre 2008
    Messages
    70
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2008
    Messages : 70
    Points : 133
    Points
    133
    Par défaut
    C'est bien fait pour eux !

    Ca les fera peut être bouger au niveau de la sécurité.

    " ah ouais, mais on a toujours fait comme ça ! "

    Laisser la base de données sur le même serveur avec les données de connection à la base en clair dans un fichier, c'est donner le baton pour se faire battre..

    C'est considéré comme un trou de sécurité par le CWE.

    Alors qu'avec PostgreSQL on peut utiliser une connection sécurisée avec échange de clés et compléter par les firewalls.

    Avec un peu d'imagination, en utilisant les droits on peut créer un sas d'étanchéité entre le php et les connections à la base, tout en controlant les requètes.

    Est ce qu 'un Casino garde tout le fric derrière le guichet , avec les clés du coffre derrière le comptoir ?

    Bin voilà dans l'info on en est restés à ce stade, parce qu' on a toujours fait comme ça..

    La protection informatique est concue comme la ligne Maginot ! on fait le pari qu 'ils ne passeront pas la barrière de protection..

    On voit le résultat ( et encore ce ne sont pas les pire en matière de sécurité qui se font avoir ).

    Il y a donc bien un problème général :

    Après Debian, Redhat, Apache , c'est la FSF

  11. #11
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 199
    Points
    2 199
    Par défaut
    Citation Envoyé par olivier69 Voir le message
    Ben non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).

    Bref, c'est mal de laisser des trous comme ça, surtout que c'est pas des gamins qui affichent leur 1er Hello World.
    hello,

    Oui, quand on regarde l'application on constate surtout que tout cela ressemble à de vieilles pratiques de développement très désuète, et surtout très difficile à maintenir lorsque le projet s'étoffe.
    > http://git.savannah.gnu.org/gitweb/?...ab8bab;hb=HEAD

    Il faut aussi prendre en compte que l'équipe en charge de la maintenance de cette application à déjà réalisé un effort pour corriger ces failles.
    Cependant cela n'à pas suffit.

    D'ailleurs cela n'est pas étonnant, il y'à des requêtes de partout, sa fait des trucs dans tous les sens. Perso je ne serait pas bien à l'aise de maintenir ce projet.

    Après, est ce que la couverture de test étaient suffisantes pour détecter ces problèmes en amont ?
    Peut être un indice de réponse, je n'en ai pas la certirude
    http://git.savannah.gnu.org/gitweb/?...960385;hb=HEAD

    a+

  12. #12
    Membre chevronné
    Avatar de kedare
    Homme Profil pro
    Network Automation Engineer
    Inscrit en
    juillet 2005
    Messages
    1 541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Network Automation Engineer

    Informations forums :
    Inscription : juillet 2005
    Messages : 1 541
    Points : 1 774
    Points
    1 774
    Par défaut
    Citation Envoyé par olivier69 Voir le message
    Ben non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).
    Plus un manque d'organisation du langage qu'une souplesse...

    jacqueline: MySQL aussi permet le SSL par échange de clés

  13. #13
    Membre expert
    Avatar de FailMan
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    janvier 2010
    Messages
    1 602
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2010
    Messages : 1 602
    Points : 3 832
    Points
    3 832
    Par défaut
    J'ai du mal à voir l'intérêt d'une telle attaque, c'est franchement inutile...
    Une erreur fréquente que les gens font quand ils tentent de réaliser quelque chose à l'épreuve des imbéciles est de sous-estimer l'ingéniosité de ceux-ci. - Douglas Adams

  14. #14
    Membre averti
    Inscrit en
    décembre 2007
    Messages
    222
    Détails du profil
    Informations forums :
    Inscription : décembre 2007
    Messages : 222
    Points : 409
    Points
    409
    Par défaut
    Si je comprend bien, des gens se sont cassé la tête pour voler du libre ?
    La sécurité de l'emploi
    "Ce n’est pas une pratique médicale sensée que de risquer sa vie en se soumettant à une intervention probablement inefficace afin d’éviter une maladie qui ne surviendra vraisemblablement jamais."
    Docteur Kris Gaublomme, médecin belge ("Vaccins et maladies auto-immunes")

  15. #15
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2010
    Messages : 1 229
    Points : 3 551
    Points
    3 551
    Par défaut
    Non, ils ont surtout discréditer le site, et ils ont des données utilisateurs.
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  16. #16
    Membre chevronné Avatar de Jbx 2.0b
    Homme Profil pro
    Développeur C++/3D
    Inscrit en
    septembre 2002
    Messages
    475
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur C++/3D
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2002
    Messages : 475
    Points : 1 861
    Points
    1 861
    Par défaut
    Non pas du libre, des données personnelles.

  17. #17
    Membre éprouvé

    Inscrit en
    janvier 2006
    Messages
    969
    Détails du profil
    Informations forums :
    Inscription : janvier 2006
    Messages : 969
    Points : 942
    Points
    942
    Par défaut
    Le but à terme est peut-être aussi de modifier le contenu de certains dépôts. Vous imaginez l'impact d'un sniffer ajouté dans le code d'un soft libre super populaire, modifié directement dans le dépôt officiel ? Et hop, un botnet de serveurs ! Et sur des machines a priori dignes de confiance, en plus.

  18. #18
    Inactif  
    Profil pro
    Inscrit en
    février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2003
    Messages : 4 341
    Points : 5 501
    Points
    5 501
    Par défaut
    Et après on vient nous bassiner que Libre = plus sécurisé !

    Va falloir qu'on m'explique, là !

  19. #19
    Membre éprouvé
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    657
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2010
    Messages : 657
    Points : 1 237
    Points
    1 237
    Par défaut
    Attention ne pas confondre libre et open source. Le libre doit être open source mais on peut avoir de l'open source non libre.
    Quand un produit est open source , tu peux vérifier toi même que le code est sécurisé.
    Quand un produit est closed source , tu fais confiance aux développeurs du produit.
    Enfin quand un source est dispo en général les utilisateurs sont plus enclins à reporter des failles ou des bugs...

  20. #20
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2010
    Messages
    68
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2010
    Messages : 68
    Points : 95
    Points
    95
    Par défaut
    Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !

    Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casseroles
    Euh, comment dire. La c'est un site qui a été impacté par une attaque ciblée, alors que ton OS proprio a 100%, il peux se faire infecter jusqu'a la moelle en ouvrant un pdf ou en naviguant sur le net.

    Sachant que Windows est responsable a pres de 100% des botnets qui existent, on peux en conclure que Windows fournit des outils puissants pour permettre des attaques par DDOS par exemple.

    Et la c'est purement la faute aux développeurs de ce site, tandis qu'avec Windows, même en faisant attention et en sachant ce que tu fais, il y a un risque d'infection.

    Donc je sais pas qui doit balayer devant sa porte en premier.

Discussions similaires

  1. La Free Software Foundation s’attaque à Microsoft
    Par Hinault Romaric dans le forum Actualités
    Réponses: 42
    Dernier message: 13/12/2013, 17h20
  2. Réponses: 244
    Dernier message: 23/09/2013, 06h36
  3. La Free Software Foundation invite Google à rendre libre le code JavaScript de Gmail
    Par Hinault Romaric dans le forum Général JavaScript
    Réponses: 68
    Dernier message: 18/09/2013, 13h22
  4. Connexion au serveur MySQL de Free
    Par T2! dans le forum JDBC
    Réponses: 16
    Dernier message: 11/07/2008, 22h09
  5. importer table sur serveur sql de free?
    Par NoobX dans le forum Requêtes
    Réponses: 4
    Dernier message: 31/10/2005, 16h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo