Discussion :

[Idelways]

PHP : Le site officiel piraté et le code source du langage compromis
Les attaques contre les logiciels libres s'intensifient



Le système de Wiki utilisé par le site officiel du langage PHP aurait été compromis, permettant le vol de codes d'accès aux dépôts des sources du langage. L'intention était certainement d’insérer subrepticement des portes dérobées dans les prochaines versions.

Le site PHP.net (indisponible durant 4 jours) subit actuellement un audit complet. Les commits à la base de code du langage depuis la version 5.3.5 sont passées au peigne fin pour y déceler la moindre modification malicieuse.

Tous les intervenants sur le code source de PHP sont par ailleurs forcés de changer leurs codes d'identification Subversion.

L'équipe de PHP communique avec parcimonie sur cette attaque et n'a publié pour l'heure qu'une brève note de sécurité. On sait toutefois que l'attaque a été rendue possible grâce à un double exploit, sur DokuWiki et une autre faille sur le système Linux sous-jacent, permettant l'élévation des privilèges.

Pour l'heure, la seule modification douteuse trouvée dans le code source de PHP 5.3.6, sortie récemment, est l'ajout du nom « Wolegequ Gelivable » aux crédits d'une partie spécifique du code.
Il s'agit probablement d'une tentative discrète de confirmer la validité des codes d'accès volés en vue d'effectuer d'autres commits avec du code malicieux.

Cette affaire a été mise en lumière par la firme de sécurité française Vupen Security qui soupçonne, dans une déclaration à la presse, un hacker chinois d'être à l'origine de cette attaque.

Des spéculations fusent sur la toile quant à une possible implication du gouvernement chinois qui souhaiterait, selon certaines rumeurs, insérer des portes dérobées permettant de compromettre plus facilement les sites web.
Aucune de ces spéculations n'est cependant accompagnée de preuves concrètes.

L'affaire fait en tout cas penser à celle du piratage des serveurs de la Free Software Foundation en décembre dernier.

Source : Note de sécurité de PHP.net

Et vous ?

Que vous inspire ces attaques ?

[berceker united]

J'espère que cela fera réfléchir certaine personnes quand ils se lancent dans un sujet du genre Windows vs Linux en sortant des arguments que Linux = sécurité. L'OS aide à la sécurité, l'homme sécurise. Si ce dernier ne sait pas prendre son rôle en mains, cela ne change pas grand chose. Néanmoins, personne n'est parfait.

Pour en revenir à cette affaire, il faut se pose la question de : A qui profite le crime ? Pourquoi cette attaque ?

Moi, je propose de garder les oreilles grandes ouvertes pour voir s'il y aura pas d'ici peut de temps une attaque publicitaire de la part de grandes sociétés pour imposer leurs outils dont la sécurité sera mis en avant. En gros sous entendre "Vous avez vu, PHP n'est pas sécurisé, la preuve".
Il y a pas de fumé sans feux ?
Il y a pas d'attaque sans intérêt...

[rushtakn]

Moi, je propose de garder les oreilles grandes ouvertes pour voir s'il y aura pas d'ici peut de temps une attaque publicitaire de la part de grandes sociétés pour imposer leurs outils dont la sécurité sera mis en avant. En gros sous entendre "Vous avez vu, PHP n'est pas sécurisé, la preuve".
Il y a pas de fumé sans feux ?
Il y a pas d'attaque sans intérêt...

Oui enfin, il faut egalement savoir profiter de toutes les occasions. C'est pas parce des boites essayent de mettre en avant leurs outils suite à cette attaque qu'ils en sont les commanditaires.

[berceker united]

Oui enfin, il faut egalement savoir profiter de toutes les occasions. C'est pas parce des boites essayent de mettre en avant leurs outils suite à cette attaque qu'ils en sont les commanditaires.

Attention, je n'ai jamais dit cela. Je dis juste qu'il faut surveiller les prochaines annonces type marketing pour se demander s'il y a pas une affaire lié à cette attaque. Même s'il y avait une annonce, je n'ai aucune preuve pour accuser. On pourra dire seulement, "troublante coïncidence". Je demande juste d'ouvrir les oreilles.

[Camille_B]

Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.

Bah, peut-être pas... Le site pouvait très bien être très vulnérable.

[SurferIX]

J'espère que cela fera réfléchir certaine personnes quand ils se lancent dans un sujet du genre Windows vs Linux en sortant des arguments que Linux = sécurité. L'OS aide à la sécurité, l'homme sécurise. Si ce dernier ne sait pas prendre son rôle en mains, cela ne change pas grand chose. Néanmoins, personne n'est parfait.

Ce qui est écrit porte à confusion : je cite :
"une autre faille sur le système Linux sous-jacent, permettant l'élévation des privilèges"

Je suis presque sûr que ce n'est pas une faille sur le système Linux, à proprement parler, mais un programme autour plutôt mal construit qu'une personne, à un moment donné, s'est dit "bon je n'arrive à faire ça qu'en root, autant donner l'accès root au programme", comme par exemple c'est le cas pour le serveur HTTPD lors de la première phase d'initialisation (j'insiste bien sur la "première", parce qu'après, dès la seconde phase, tout tourne sous le n'om d'utilisateur/groupe "apache/apache" (à adapter selon de type de distribution)).
C'est ce qui est écrit qui peut porter à confusion. Attention donc à imaginer plusieurs interprétations possibles de ce genre d'affirmation.

C'est exactement cette question que je me pose. Je vois pas l'intérêt de s'y attaquer. A qui cela pourrait profiter. Il se pourrait que cela soit lié à un conflit interne comme cela est déjà arrivé.
Pour ceux qui connaisse, les fans de flight simulator ont un site ou il y a toute les sources concernant les Add-on de ce jeux. Ils stockent des milliers teras de données. En 2009 ou 2010 une grosse partie des sources avaient disparu à cause d'un conflit interne. Un responsable a piraté le site pour pouvoir la copier avant de partir.
Edit : Le site en question est avsim.com

Tiens je ne savais pas que c'était un des responsables même qui l'avait piraté

[Invité]

par contre l'avantage c'est que comme le code est libre le nombre de personnes qui peuvent l'auditer est plus grand . Le libre aurait la réputation de réagir plus vite. Là on va voir si c'est le cas. Mais en effet ça rappelle que le libre est autant exposé que les autres.

[Benjamin Delespierre]

Je me demande s'il s'agit d'un cas isolé ou si d'autres langages ont déjà subi une attaque similaire. J'espère que cette attaque ne va pas compromettre l'avancée de PHP ni retarder les développements sur la version 6.

[stealth35]

ni retarder les développements sur la version 6.

5.4

[Benjamin Delespierre]

Désolé, je me suis perdu dans les dénominations...

[Totony]

Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.

[berceker united]

Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.

C'est exactement cette question que je me pose. Je vois pas l'intérêt de s'y attaquer. A qui cela pourrait profiter. Il se pourrait que cela soit lié à un conflit interne comme cela est déjà arrivé.
Pour ceux qui connaisse, les fans de flight simulator ont un site ou il y a toute les sources concernant les Add-on de ce jeux. Ils stockent des milliers teras de données. En 2009 ou 2010 une grosse partie des sources avaient disparu à cause d'un conflit interne. Un responsable a piraté le site pour pouvoir la copier avant de partir.
Edit : Le site en question est avsim.com

[Neko]

C'est exactement cette question que je me pose. Je vois pas l'intérêt de s'y attaquer. A qui cela pourrait profiter. Il se pourrait que cela soit lié à un conflit interne comme cela est déjà arrivé.
...

Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.

[Flaburgan]

Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.

Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...
Et puis surtout, pour se faire un nom, il faut revendiquer l'acte. Attaquer un site open source ternirait le nom plutôt que de le glorifier.

[Neko]

Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...

Tous les hackers ne sont pas des White hat. On est pas dans le monde de OuiOui ici.

Et puis surtout, pour se faire un nom, il faut revendiquer l'acte.

Genre comme ajouter son pseudo dans les crédits ?

Attaquer un site open source ternirait le nom plutôt que de le glorifier.

Ça c'est parceque tu pars du principe que tous les hackers sont super gentils et qu'ils aiment tous l'open source. Mais sur quoi te bases-tu ?

[berceker united]

Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.

Se faire un nom en attaquant ce genre de site serait plutôt suicidaire pour lui. Même sa brosse à dent électrique sera hacké.

[Shikiryu]

Perso, ça ne m'effraie pas plus que ça.

Pourquoi ?
Parce que l'attaque s'est déroulée via un commit du code source de PHP dans le SVN officiel.

Commit qui d'une part est :

• réversible (hop un revert et c'est finit)
• trackable (car envoyé à des mailing list)
• non mystérieux (on voit les changements dans les logs de chaque commit)

Hannes Magnusson est la personne qui s'est fait "hacké" son compte SVN de PHP.net et l'explique ici

La sécurité de PHP n'est donc pas mise en cause pour les prochaines versions et la sécurité de leur SVN sera peut-être améliorée comme ça.

[Thes32]

Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.

En faite ce n'est pas vraiment le langage le problème, c'est plutôt le système...

[yostane]

J'espère que cela fera réfléchir certaine personnes quand ils se lancent dans un sujet du genre Windows vs Linux en sortant des arguments que Linux = sécurité. L'OS aide à la sécurité, l'homme sécurise. Si ce dernier ne sait pas prendre son rôle en mains, cela ne change pas grand chose. Néanmoins, personne n'est parfait.

De toute façon, on ne peut pas échapper au piratage, et je pense que PHP sous windows est plus facilement piratable que PHP sous Lnix.
Le plus important maintenant c'est de traiter ce problème au plus vite.

[ProgVal]

J'aime beaucoup le titre :

code source du langage

Cette affaire a été mise en lumière par la firme de sécurité française Vupen Security qui soupçonne, dans une déclaration à la presse, un hacker chinois d'être à l'origine de cette attaque.

Comment peuvent-ils savoir qu'il s'agit d'un hackeur sans savoir qui c'est ?
Idem pour sa nationalité, ça ne veut rien dire du temps ; une simple machine infectée, et ça fait un magnifique "proxy" (dans le sens large du terme)