IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

PHP : Le site officiel piraté et le code source du langage compromis


Sujet :

Langage PHP

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 503
    Points
    68 503
    Par défaut PHP : Le site officiel piraté et le code source du langage compromis
    PHP : Le site officiel piraté et le code source du langage compromis
    Les attaques contre les logiciels libres s'intensifient



    Le système de Wiki utilisé par le site officiel du langage PHP aurait été compromis, permettant le vol de codes d'accès aux dépôts des sources du langage. L'intention était certainement d’insérer subrepticement des portes dérobées dans les prochaines versions.

    Le site PHP.net (indisponible durant 4 jours) subit actuellement un audit complet. Les commits à la base de code du langage depuis la version 5.3.5 sont passées au peigne fin pour y déceler la moindre modification malicieuse.

    Tous les intervenants sur le code source de PHP sont par ailleurs forcés de changer leurs codes d'identification Subversion.

    L'équipe de PHP communique avec parcimonie sur cette attaque et n'a publié pour l'heure qu'une brève note de sécurité. On sait toutefois que l'attaque a été rendue possible grâce à un double exploit, sur DokuWiki et une autre faille sur le système Linux sous-jacent, permettant l'élévation des privilèges.

    Pour l'heure, la seule modification douteuse trouvée dans le code source de PHP 5.3.6, sortie récemment, est l'ajout du nom « Wolegequ Gelivable » aux crédits d'une partie spécifique du code.
    Il s'agit probablement d'une tentative discrète de confirmer la validité des codes d'accès volés en vue d'effectuer d'autres commits avec du code malicieux.

    Cette affaire a été mise en lumière par la firme de sécurité française Vupen Security qui soupçonne, dans une déclaration à la presse, un hacker chinois d'être à l'origine de cette attaque.

    Des spéculations fusent sur la toile quant à une possible implication du gouvernement chinois qui souhaiterait, selon certaines rumeurs, insérer des portes dérobées permettant de compromettre plus facilement les sites web.
    Aucune de ces spéculations n'est cependant accompagnée de preuves concrètes.

    L'affaire fait en tout cas penser à celle du piratage des serveurs de la Free Software Foundation en décembre dernier.

    Source : Note de sécurité de PHP.net

    Et vous ?

    Que vous inspire ces attaques ?

  2. #2
    Expert confirmé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    février 2005
    Messages
    3 429
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : février 2005
    Messages : 3 429
    Points : 5 708
    Points
    5 708
    Par défaut
    J'espère que cela fera réfléchir certaine personnes quand ils se lancent dans un sujet du genre Windows vs Linux en sortant des arguments que Linux = sécurité. L'OS aide à la sécurité, l'homme sécurise. Si ce dernier ne sait pas prendre son rôle en mains, cela ne change pas grand chose. Néanmoins, personne n'est parfait.

    Pour en revenir à cette affaire, il faut se pose la question de : A qui profite le crime ? Pourquoi cette attaque ?

    Moi, je propose de garder les oreilles grandes ouvertes pour voir s'il y aura pas d'ici peut de temps une attaque publicitaire de la part de grandes sociétés pour imposer leurs outils dont la sécurité sera mis en avant. En gros sous entendre "Vous avez vu, PHP n'est pas sécurisé, la preuve".
    Il y a pas de fumé sans feux ?
    Il y a pas d'attaque sans intérêt...
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  3. #3
    Invité
    Invité(e)
    Par défaut
    par contre l'avantage c'est que comme le code est libre le nombre de personnes qui peuvent l'auditer est plus grand . Le libre aurait la réputation de réagir plus vite. Là on va voir si c'est le cas. Mais en effet ça rappelle que le libre est autant exposé que les autres.

  4. #4
    Expert éminent
    Avatar de Benjamin Delespierre
    Profil pro
    Développeur Web
    Inscrit en
    février 2010
    Messages
    3 929
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2010
    Messages : 3 929
    Points : 7 995
    Points
    7 995
    Par défaut
    Je me demande s'il s'agit d'un cas isolé ou si d'autres langages ont déjà subi une attaque similaire. J'espère que cette attaque ne va pas compromettre l'avancée de PHP ni retarder les développements sur la version 6.

  5. #5
    Expert éminent sénior

    Profil pro
    Inscrit en
    septembre 2010
    Messages
    7 920
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2010
    Messages : 7 920
    Points : 10 724
    Points
    10 724
    Par défaut
    Citation Envoyé par Benjamin Delespierre Voir le message
    ni retarder les développements sur la version 6.
    5.4

  6. #6
    Expert éminent
    Avatar de Benjamin Delespierre
    Profil pro
    Développeur Web
    Inscrit en
    février 2010
    Messages
    3 929
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2010
    Messages : 3 929
    Points : 7 995
    Points
    7 995
    Par défaut
    Désolé, je me suis perdu dans les dénominations...

  7. #7
    Membre actif Avatar de rushtakn
    Inscrit en
    mai 2006
    Messages
    213
    Détails du profil
    Informations forums :
    Inscription : mai 2006
    Messages : 213
    Points : 239
    Points
    239
    Par défaut
    Citation Envoyé par berceker united Voir le message
    Moi, je propose de garder les oreilles grandes ouvertes pour voir s'il y aura pas d'ici peut de temps une attaque publicitaire de la part de grandes sociétés pour imposer leurs outils dont la sécurité sera mis en avant. En gros sous entendre "Vous avez vu, PHP n'est pas sécurisé, la preuve".
    Il y a pas de fumé sans feux ?
    Il y a pas d'attaque sans intérêt...
    Oui enfin, il faut egalement savoir profiter de toutes les occasions. C'est pas parce des boites essayent de mettre en avant leurs outils suite à cette attaque qu'ils en sont les commanditaires.

  8. #8
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2010
    Messages
    43
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2010
    Messages : 43
    Points : 58
    Points
    58
    Par défaut
    Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.

  9. #9
    Expert confirmé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    février 2005
    Messages
    3 429
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : février 2005
    Messages : 3 429
    Points : 5 708
    Points
    5 708
    Par défaut
    Citation Envoyé par rushtakn Voir le message
    Oui enfin, il faut egalement savoir profiter de toutes les occasions. C'est pas parce des boites essayent de mettre en avant leurs outils suite à cette attaque qu'ils en sont les commanditaires.
    Attention, je n'ai jamais dit cela. Je dis juste qu'il faut surveiller les prochaines annonces type marketing pour se demander s'il y a pas une affaire lié à cette attaque. Même s'il y avait une annonce, je n'ai aucune preuve pour accuser. On pourra dire seulement, "troublante coïncidence". Je demande juste d'ouvrir les oreilles.
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  10. #10
    Membre confirmé Avatar de Camille_B
    Homme Profil pro
    Webmaster
    Inscrit en
    septembre 2006
    Messages
    212
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Webmaster
    Secteur : Associations - ONG

    Informations forums :
    Inscription : septembre 2006
    Messages : 212
    Points : 646
    Points
    646
    Par défaut
    Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.
    Bah, peut-être pas... Le site pouvait très bien être très vulnérable.

  11. #11
    Expert confirmé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    février 2005
    Messages
    3 429
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : février 2005
    Messages : 3 429
    Points : 5 708
    Points
    5 708
    Par défaut
    Citation Envoyé par Totony Voir le message
    Quand même, il faut le faire pour hacker le site du langage PHP et seulement le fait que quelqu'un ait pu le hacker est troublant.
    C'est exactement cette question que je me pose. Je vois pas l'intérêt de s'y attaquer. A qui cela pourrait profiter. Il se pourrait que cela soit lié à un conflit interne comme cela est déjà arrivé.
    Pour ceux qui connaisse, les fans de flight simulator ont un site ou il y a toute les sources concernant les Add-on de ce jeux. Ils stockent des milliers teras de données. En 2009 ou 2010 une grosse partie des sources avaient disparu à cause d'un conflit interne. Un responsable a piraté le site pour pouvoir la copier avant de partir.
    Edit : Le site en question est avsim.com
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  12. #12
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 871
    Points
    1 871
    Par défaut
    Citation Envoyé par berceker united Voir le message
    C'est exactement cette question que je me pose. Je vois pas l'intérêt de s'y attaquer. A qui cela pourrait profiter. Il se pourrait que cela soit lié à un conflit interne comme cela est déjà arrivé.
    ...
    Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
    Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.
    If it's free, you are not the customer, you are the product.

  13. #13
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2010
    Messages : 1 229
    Points : 3 541
    Points
    3 541
    Par défaut
    Citation Envoyé par Neko Voir le message
    Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
    Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.
    Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...
    Et puis surtout, pour se faire un nom, il faut revendiquer l'acte. Attaquer un site open source ternirait le nom plutôt que de le glorifier.
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  14. #14
    Expert confirmé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    février 2005
    Messages
    3 429
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : février 2005
    Messages : 3 429
    Points : 5 708
    Points
    5 708
    Par défaut
    Citation Envoyé par Neko Voir le message
    Le seul fait que ce soit un site connu en fait une cible pour qui veux se faire connaitre.
    Inutile de regarder trop loin, à mon avis c'est simplement un hacker qui essaye de se faire un nom.
    Se faire un nom en attaquant ce genre de site serait plutôt suicidaire pour lui. Même sa brosse à dent électrique sera hacké.
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  15. #15
    Membre régulier Avatar de yostane
    Homme Profil pro
    test
    Inscrit en
    mars 2006
    Messages
    84
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : test

    Informations forums :
    Inscription : mars 2006
    Messages : 84
    Points : 105
    Points
    105
    Par défaut
    J'espère que cela fera réfléchir certaine personnes quand ils se lancent dans un sujet du genre Windows vs Linux en sortant des arguments que Linux = sécurité. L'OS aide à la sécurité, l'homme sécurise. Si ce dernier ne sait pas prendre son rôle en mains, cela ne change pas grand chose. Néanmoins, personne n'est parfait.
    De toute façon, on ne peut pas échapper au piratage, et je pense que PHP sous windows est plus facilement piratable que PHP sous Lnix.
    Le plus important maintenant c'est de traiter ce problème au plus vite.
    yostane

  16. #16
    Membre éclairé

    Homme Profil pro
    Développeur Web
    Inscrit en
    mars 2011
    Messages
    411
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2011
    Messages : 411
    Points : 735
    Points
    735
    Par défaut
    Perso, ça ne m'effraie pas plus que ça.

    Pourquoi ?
    Parce que l'attaque s'est déroulée via un commit du code source de PHP dans le SVN officiel.

    Commit qui d'une part est :
    • réversible (hop un revert et c'est finit)
    • trackable (car envoyé à des mailing list)
    • non mystérieux (on voit les changements dans les logs de chaque commit)


    Hannes Magnusson est la personne qui s'est fait "hacké" son compte SVN de PHP.net et l'explique ici

    La sécurité de PHP n'est donc pas mise en cause pour les prochaines versions et la sécurité de leur SVN sera peut-être améliorée comme ça.
    Je suis fervent utilisateur de PHP et de jQuery.
    Après des études de graphisme, j'ai décidé de mélanger développement web et web design. J'ai ainsi donc créé mon site web de développeur web dans le Val d'Oise mais aussi plusieurs projets personnels.
    Dans les plus aboutis, vous pourrez trouver dans mon labo et dans mon devblog, une extension de navigateur pour envoyer l'URL de la page actuelle vers votre email pour lire plus tard ou sauvegarder, mon générateur de template HTML5, etc…

  17. #17
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    avril 2002
    Messages
    4 272
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : avril 2002
    Messages : 4 272
    Points : 13 188
    Points
    13 188
    Par défaut
    Certes, mais les gens qui gèrent PHP ont tout de même eu la chance de s'en apercevoir. Si le hack de ce cher Hannes Magnusson était passé inapercu, il aurait pu permettre insérer une backdoor discrète dans PHP.

  18. #18
    Membre éclairé

    Homme Profil pro
    Développeur Web
    Inscrit en
    mars 2011
    Messages
    411
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2011
    Messages : 411
    Points : 735
    Points
    735
    Par défaut
    Comme il le dit dans son article, ça montre un peu le sérieux des développeurs de PHP. En effet, en moins de 10 minutes, 3 d'entre eux ont signalé l'anormalité (Hannes Magnusson ne devant rien faire depuis quelques temps). En même temps, tous les dev recevant les différents commit via une mailing list peuvent voir si leur nom est utilisé et si les intitulés des commit sont les leurs.

    De plus, je connais des gens sur le chat de StackOverflow qui surveillent eux-même les différents commit du SVN de PHP (et ils ne font pas partie de leur dev, même si un d'entre eux travaille pour Zend).

    Je ne pense pas qu'être alarmiste, ici, soit recommandé àmha.
    Je suis fervent utilisateur de PHP et de jQuery.
    Après des études de graphisme, j'ai décidé de mélanger développement web et web design. J'ai ainsi donc créé mon site web de développeur web dans le Val d'Oise mais aussi plusieurs projets personnels.
    Dans les plus aboutis, vous pourrez trouver dans mon labo et dans mon devblog, une extension de navigateur pour envoyer l'URL de la page actuelle vers votre email pour lire plus tard ou sauvegarder, mon générateur de template HTML5, etc…

  19. #19
    Membre éprouvé Avatar de alain31tl
    Homme Profil pro
    Inscrit en
    novembre 2005
    Messages
    935
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations forums :
    Inscription : novembre 2005
    Messages : 935
    Points : 1 017
    Points
    1 017
    Par défaut
    La chine était déjà suspectée dans la pseudo-affaire d'espionnage chez Renault, et ensuite cet état de fait a été démenti.
    Ceci étant, c'est vrai qu'ils sont friands de tout ce qui se passe dans ce monde et archivent tout ce qui leur vient sous la main.
    Je parierais presque que nous sommes déjà tous répertoriés dans leurs bases de données.
    D'ailleurs ils emploient des centaines de personnes pour alimenter celles-ci.
    Ils ne connaissent pas la cnil, eux.
    Ce n'est pas parce que les choses sont difficiles qu'on n'ose pas les entreprendre.
    C'est parce qu'on n'ose pas les entreprendre qu'elles sont difficiles.

  20. #20
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 871
    Points
    1 871
    Par défaut
    Citation Envoyé par Flaburgan Voir le message
    Absolument pas d'accord, ce genre de hackers connaissent et respectent le travail des autres, et auront plutôt tendance à aller voir des sites gouvernementaux qu'ils méprisent beaucoup plus qu'une communauté open source...
    Tous les hackers ne sont pas des White hat. On est pas dans le monde de OuiOui ici.

    Citation Envoyé par Flaburgan Voir le message
    Et puis surtout, pour se faire un nom, il faut revendiquer l'acte.
    Genre comme ajouter son pseudo dans les crédits ?

    Citation Envoyé par Flaburgan Voir le message
    Attaquer un site open source ternirait le nom plutôt que de le glorifier.
    Ça c'est parceque tu pars du principe que tous les hackers sont super gentils et qu'ils aiment tous l'open source. Mais sur quoi te bases-tu ?
    If it's free, you are not the customer, you are the product.

Discussions similaires

  1. Des serveurs du site officiel de PHP ont été compromis
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 13
    Dernier message: 02/11/2013, 19h04
  2. Site piraté, ajout de code permanent
    Par Invité dans le forum jQuery
    Réponses: 12
    Dernier message: 03/05/2013, 16h58
  3. Réponses: 0
    Dernier message: 22/03/2011, 12h13
  4. [EasyPHP] Site en local : affichage du code PHP :(
    Par ricou69 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 4
    Dernier message: 12/10/2010, 22h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo