IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

PHP : Le site officiel piraté et le code source du langage compromis


Sujet :

Langage PHP

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre éprouvé
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Par défaut PHP : Le site officiel piraté et le code source du langage compromis
    PHP : Le site officiel piraté et le code source du langage compromis
    Les attaques contre les logiciels libres s'intensifient



    Le système de Wiki utilisé par le site officiel du langage PHP aurait été compromis, permettant le vol de codes d'accès aux dépôts des sources du langage. L'intention était certainement d’insérer subrepticement des portes dérobées dans les prochaines versions.

    Le site PHP.net (indisponible durant 4 jours) subit actuellement un audit complet. Les commits à la base de code du langage depuis la version 5.3.5 sont passées au peigne fin pour y déceler la moindre modification malicieuse.

    Tous les intervenants sur le code source de PHP sont par ailleurs forcés de changer leurs codes d'identification Subversion.

    L'équipe de PHP communique avec parcimonie sur cette attaque et n'a publié pour l'heure qu'une brève note de sécurité. On sait toutefois que l'attaque a été rendue possible grâce à un double exploit, sur DokuWiki et une autre faille sur le système Linux sous-jacent, permettant l'élévation des privilèges.

    Pour l'heure, la seule modification douteuse trouvée dans le code source de PHP 5.3.6, sortie récemment, est l'ajout du nom « Wolegequ Gelivable » aux crédits d'une partie spécifique du code.
    Il s'agit probablement d'une tentative discrète de confirmer la validité des codes d'accès volés en vue d'effectuer d'autres commits avec du code malicieux.

    Cette affaire a été mise en lumière par la firme de sécurité française Vupen Security qui soupçonne, dans une déclaration à la presse, un hacker chinois d'être à l'origine de cette attaque.

    Des spéculations fusent sur la toile quant à une possible implication du gouvernement chinois qui souhaiterait, selon certaines rumeurs, insérer des portes dérobées permettant de compromettre plus facilement les sites web.
    Aucune de ces spéculations n'est cependant accompagnée de preuves concrètes.

    L'affaire fait en tout cas penser à celle du piratage des serveurs de la Free Software Foundation en décembre dernier.

    Source : Note de sécurité de PHP.net

    Et vous ?

    Que vous inspire ces attaques ?

  2. #2
    Membre éprouvé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 509
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 509
    Par défaut
    J'espère que cela fera réfléchir certaine personnes quand ils se lancent dans un sujet du genre Windows vs Linux en sortant des arguments que Linux = sécurité. L'OS aide à la sécurité, l'homme sécurise. Si ce dernier ne sait pas prendre son rôle en mains, cela ne change pas grand chose. Néanmoins, personne n'est parfait.

    Pour en revenir à cette affaire, il faut se pose la question de : A qui profite le crime ? Pourquoi cette attaque ?

    Moi, je propose de garder les oreilles grandes ouvertes pour voir s'il y aura pas d'ici peut de temps une attaque publicitaire de la part de grandes sociétés pour imposer leurs outils dont la sécurité sera mis en avant. En gros sous entendre "Vous avez vu, PHP n'est pas sécurisé, la preuve".
    Il y a pas de fumé sans feux ?
    Il y a pas d'attaque sans intérêt...

  3. #3
    Membre éprouvé Avatar de rushtakn
    Inscrit en
    Mai 2006
    Messages
    213
    Détails du profil
    Informations forums :
    Inscription : Mai 2006
    Messages : 213
    Par défaut
    Citation Envoyé par berceker united Voir le message
    Moi, je propose de garder les oreilles grandes ouvertes pour voir s'il y aura pas d'ici peut de temps une attaque publicitaire de la part de grandes sociétés pour imposer leurs outils dont la sécurité sera mis en avant. En gros sous entendre "Vous avez vu, PHP n'est pas sécurisé, la preuve".
    Il y a pas de fumé sans feux ?
    Il y a pas d'attaque sans intérêt...
    Oui enfin, il faut egalement savoir profiter de toutes les occasions. C'est pas parce des boites essayent de mettre en avant leurs outils suite à cette attaque qu'ils en sont les commanditaires.

  4. #4
    Membre éprouvé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 509
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 509
    Par défaut
    Citation Envoyé par rushtakn Voir le message
    Oui enfin, il faut egalement savoir profiter de toutes les occasions. C'est pas parce des boites essayent de mettre en avant leurs outils suite à cette attaque qu'ils en sont les commanditaires.
    Attention, je n'ai jamais dit cela. Je dis juste qu'il faut surveiller les prochaines annonces type marketing pour se demander s'il y a pas une affaire lié à cette attaque. Même s'il y avait une annonce, je n'ai aucune preuve pour accuser. On pourra dire seulement, "troublante coïncidence". Je demande juste d'ouvrir les oreilles.

  5. #5
    Membre confirmé Avatar de Camille_B
    Homme Profil pro
    Webmaster
    Inscrit en
    Septembre 2006
    Messages
    212
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Webmaster
    Secteur : Associations - ONG

    Informations forums :
    Inscription : Septembre 2006
    Messages : 212
    Par défaut
    Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.
    Bah, peut-être pas... Le site pouvait très bien être très vulnérable.

  6. #6
    Membre très actif

    Homme Profil pro
    Mentaliste
    Inscrit en
    Mars 2008
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Mentaliste
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 872
    Par défaut
    Citation Envoyé par berceker united Voir le message
    J'espère que cela fera réfléchir certaine personnes quand ils se lancent dans un sujet du genre Windows vs Linux en sortant des arguments que Linux = sécurité. L'OS aide à la sécurité, l'homme sécurise. Si ce dernier ne sait pas prendre son rôle en mains, cela ne change pas grand chose. Néanmoins, personne n'est parfait.
    Ce qui est écrit porte à confusion : je cite :
    "une autre faille sur le système Linux sous-jacent, permettant l'élévation des privilèges"

    Je suis presque sûr que ce n'est pas une faille sur le système Linux, à proprement parler, mais un programme autour plutôt mal construit qu'une personne, à un moment donné, s'est dit "bon je n'arrive à faire ça qu'en root, autant donner l'accès root au programme", comme par exemple c'est le cas pour le serveur HTTPD lors de la première phase d'initialisation (j'insiste bien sur la "première", parce qu'après, dès la seconde phase, tout tourne sous le n'om d'utilisateur/groupe "apache/apache" (à adapter selon de type de distribution)).
    C'est ce qui est écrit qui peut porter à confusion. Attention donc à imaginer plusieurs interprétations possibles de ce genre d'affirmation.


    Citation Envoyé par berceker united Voir le message
    C'est exactement cette question que je me pose. Je vois pas l'intérêt de s'y attaquer. A qui cela pourrait profiter. Il se pourrait que cela soit lié à un conflit interne comme cela est déjà arrivé.
    Pour ceux qui connaisse, les fans de flight simulator ont un site ou il y a toute les sources concernant les Add-on de ce jeux. Ils stockent des milliers teras de données. En 2009 ou 2010 une grosse partie des sources avaient disparu à cause d'un conflit interne. Un responsable a piraté le site pour pouvoir la copier avant de partir.
    Edit : Le site en question est avsim.com
    Tiens je ne savais pas que c'était un des responsables même qui l'avait piraté

  7. #7
    Invité
    Invité(e)
    Par défaut
    par contre l'avantage c'est que comme le code est libre le nombre de personnes qui peuvent l'auditer est plus grand . Le libre aurait la réputation de réagir plus vite. Là on va voir si c'est le cas. Mais en effet ça rappelle que le libre est autant exposé que les autres.

  8. #8
    Expert confirmé
    Avatar de Benjamin Delespierre
    Profil pro
    Développeur Web
    Inscrit en
    Février 2010
    Messages
    3 929
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Février 2010
    Messages : 3 929
    Par défaut
    Je me demande s'il s'agit d'un cas isolé ou si d'autres langages ont déjà subi une attaque similaire. J'espère que cette attaque ne va pas compromettre l'avancée de PHP ni retarder les développements sur la version 6.

  9. #9
    Expert confirmé

    Profil pro
    Inscrit en
    Septembre 2010
    Messages
    7 920
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2010
    Messages : 7 920
    Par défaut
    Citation Envoyé par Benjamin Delespierre Voir le message
    ni retarder les développements sur la version 6.
    5.4

  10. #10
    Expert confirmé
    Avatar de Benjamin Delespierre
    Profil pro
    Développeur Web
    Inscrit en
    Février 2010
    Messages
    3 929
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Février 2010
    Messages : 3 929
    Par défaut
    Désolé, je me suis perdu dans les dénominations...

  11. #11
    Membre actif
    Profil pro
    Inscrit en
    Novembre 2010
    Messages
    43
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2010
    Messages : 43
    Par défaut
    Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.

  12. #12
    Membre éprouvé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 509
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 509
    Par défaut
    Citation Envoyé par Totony Voir le message
    Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.
    C'est exactement cette question que je me pose. Je vois pas l'intérêt de s'y attaquer. A qui cela pourrait profiter. Il se pourrait que cela soit lié à un conflit interne comme cela est déjà arrivé.
    Pour ceux qui connaisse, les fans de flight simulator ont un site ou il y a toute les sources concernant les Add-on de ce jeux. Ils stockent des milliers teras de données. En 2009 ou 2010 une grosse partie des sources avaient disparu à cause d'un conflit interne. Un responsable a piraté le site pour pouvoir la copier avant de partir.
    Edit : Le site en question est avsim.com

  13. #13
    Membre très actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2005
    Messages : 541
    Par défaut
    Citation Envoyé par berceker united Voir le message
    C'est exactement cette question que je me pose. Je vois pas l'intérêt de s'y attaquer. A qui cela pourrait profiter. Il se pourrait que cela soit lié à un conflit interne comme cela est déjà arrivé.
    ...
    Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
    Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.

  14. #14
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2010
    Messages : 1 229
    Par défaut
    Citation Envoyé par Neko Voir le message
    Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
    Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.
    Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...
    Et puis surtout, pour se faire un nom, il faut revendiquer l'acte. Attaquer un site open source ternirait le nom plutôt que de le glorifier.

  15. #15
    Membre très actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2005
    Messages : 541
    Par défaut
    Citation Envoyé par Flaburgan Voir le message
    Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...
    Tous les hackers ne sont pas des White hat. On est pas dans le monde de OuiOui ici.

    Citation Envoyé par Flaburgan Voir le message
    Et puis surtout, pour se faire un nom, il faut revendiquer l'acte.
    Genre comme ajouter son pseudo dans les crédits ?

    Citation Envoyé par Flaburgan Voir le message
    Attaquer un site open source ternirait le nom plutôt que de le glorifier.
    Ça c'est parceque tu pars du principe que tous les hackers sont super gentils et qu'ils aiment tous l'open source. Mais sur quoi te bases-tu ?

  16. #16
    Membre éprouvé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 509
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 509
    Par défaut
    Citation Envoyé par Neko Voir le message
    Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
    Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.
    Se faire un nom en attaquant ce genre de site serait plutôt suicidaire pour lui. Même sa brosse à dent électrique sera hacké.

  17. #17
    Membre émérite

    Homme Profil pro
    Développeur Web
    Inscrit en
    Mars 2011
    Messages
    411
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2011
    Messages : 411
    Par défaut
    Perso, ça ne m'effraie pas plus que ça.

    Pourquoi ?
    Parce que l'attaque s'est déroulée via un commit du code source de PHP dans le SVN officiel.

    Commit qui d'une part est :
    • réversible (hop un revert et c'est finit)
    • trackable (car envoyé à des mailing list)
    • non mystérieux (on voit les changements dans les logs de chaque commit)


    Hannes Magnusson est la personne qui s'est fait "hacké" son compte SVN de PHP.net et l'explique ici

    La sécurité de PHP n'est donc pas mise en cause pour les prochaines versions et la sécurité de leur SVN sera peut-être améliorée comme ça.

  18. #18
    Membre Expert
    Avatar de Thes32
    Homme Profil pro
    Développeur PHP, .Net, T-SQL
    Inscrit en
    Décembre 2006
    Messages
    2 379
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur PHP, .Net, T-SQL

    Informations forums :
    Inscription : Décembre 2006
    Messages : 2 379
    Par défaut
    Citation Envoyé par Totony Voir le message
    Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.
    En faite ce n'est pas vraiment le langage le problème, c'est plutôt le système...

  19. #19
    Membre actif Avatar de yostane
    Homme Profil pro
    test
    Inscrit en
    Mars 2006
    Messages
    84
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : test

    Informations forums :
    Inscription : Mars 2006
    Messages : 84
    Par défaut
    J'espère que cela fera réfléchir certaine personnes quand ils se lancent dans un sujet du genre Windows vs Linux en sortant des arguments que Linux = sécurité. L'OS aide à la sécurité, l'homme sécurise. Si ce dernier ne sait pas prendre son rôle en mains, cela ne change pas grand chose. Néanmoins, personne n'est parfait.
    De toute façon, on ne peut pas échapper au piratage, et je pense que PHP sous windows est plus facilement piratable que PHP sous Lnix.
    Le plus important maintenant c'est de traiter ce problème au plus vite.

  20. #20
    Membre très actif
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Par défaut
    J'aime beaucoup le titre :
    Citation Envoyé par Idelways Voir le message
    code source du langage
    Citation Envoyé par Idelways Voir le message
    Cette affaire a été mise en lumière par la firme de sécurité française Vupen Security qui soupçonne, dans une déclaration à la presse, un hacker chinois d'être à l'origine de cette attaque.
    Comment peuvent-ils savoir qu'il s'agit d'un hackeur sans savoir qui c'est ?
    Idem pour sa nationalité, ça ne veut rien dire du temps ; une simple machine infectée, et ça fait un magnifique "proxy" (dans le sens large du terme)

Discussions similaires

  1. Des serveurs du site officiel de PHP ont été compromis
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 13
    Dernier message: 02/11/2013, 19h04
  2. Site piraté, ajout de code permanent
    Par Invité dans le forum jQuery
    Réponses: 12
    Dernier message: 03/05/2013, 16h58
  3. Réponses: 0
    Dernier message: 22/03/2011, 12h13
  4. [EasyPHP] Site en local : affichage du code PHP :(
    Par ricou69 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 4
    Dernier message: 12/10/2010, 22h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo