IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Open source, épée à double tranchant ?


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Avatar de Francis Walter
    Homme Profil pro
    Développeur informatique
    Inscrit en
    février 2012
    Messages
    2 315
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2012
    Messages : 2 315
    Points : 26 894
    Points
    26 894
    Par défaut Open source, épée à double tranchant ?
    Open source, épée à double tranchant ?
    Le code de FileZilla exploité pour créer une version malveillante quasi identique

    Les développeurs d’Avast ont récemment découvert un programme malveillant dans le client FTP FileZilla. L’étude effectuée sur le malware a été publiée dans un billet sur le blog de l’éditeur d’antivirus.

    En effet, il existe des versions du client FTP FileZilla vérolées. FileZilla est un programme open source. Son code source a été modifié par des développeurs malintentionnés en vue de voler les informations d’identification FTP et SFTP des utilisateurs. Les internautes utilisant des serveurs FTP pour leurs téléchargements font face à de grands risques d’infection. « Le client FTP malveillant installé ressemble à la version officielle et il est entièrement fonctionnel ! Vous ne pouvez pas détecter de comportement suspect, y compris concernant les entrées dans le registre système, de la communication ou de changements au niveau de l’interface », peut-on lire dans le billet. Les versions du client FileZilla concernées sont les versions 3.7.3 et 3.5.3. Elles possèdent une interface graphique très semblable à celle officielle. Néanmoins, de fausses informations se sont glissées au niveau de la partie « À propos de FileZilla », concernant la version du SGBD SQLite utilisée.


    D’autres dissemblances ont été remarquées au niveau de la taille des versions vérolées qui pèsent seulement 6,8 Mo et la présence de deux nouveaux fichiers dll : ibgcc_s_dw2-1.dll et libstdc+ + 6.dll. « Toute tentative de mise à jour de l’application échoue », explique Avast. Cette version malveillante a été compilée en Septembre 2012.


    Le programme est utilisé sur de faux sites de téléchargements avec de fausses informations et est présenté comme étant la version originale. Les utilisateurs peuvent ne pas se rendre compte du téléchargement à l’installation, car le malware procède de la même manière que l’original. La seule différence pouvant être remarquée lors de l’installation se trouve au niveau de la version du logiciel NullSoft utilisée.


    Cependant, les développeurs d’Avast ont réussi à obtenir plus d’informations sur le processus de fonctionnement du faux programme : « Nous avons trouvé les détails de connexion des pirates après une analyse approfondie. Les auteurs de malwares abusent souvent du code source ouvert afin d’y ajouter leurs propres fonctions détournées ». L’objectif du programme malveillant serait d’envoyer les informations d’identification dérobées à un serveur se situant en Allemagne. Ils « ont utilisé une méthode très puissante et discrète » permettant au programme de contourner le pare-feu. Ils utilisent des sites web du nom de domaine russe Naunet qui ne fournit pas les informations concernant le client.

    Suite aux annonces de la société Avast à propos du malware, FileZilla a invité les utilisateurs à utiliser son site officiel ou celui de SourceForge pour télécharger les versions officielles du client FTP. Un conseil approuvé par les développeurs d’Avast qui demandent aux utilisateurs du client FTP FileZilla d’effectuer leurs téléchargements sur des sites de confiance.

    Source : Blog Avast, FileZilla

    Et vous ?

    Avez-vous déjà rencontré ce faux FileZilla ?

    Qu’en pensez-vous ?
    Vous avez envie de contribuer au sein du Club Developpez.com ?

    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, ...etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 428
    Points
    2 428
    Par défaut
    Quelle raison aurait-on de ne pas récupérer FileZilla sur le site officiel, déjà ?

  3. #3
    Membre averti Avatar de Atem18
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    octobre 2012
    Messages
    91
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : octobre 2012
    Messages : 91
    Points : 328
    Points
    328
    Par défaut
    Qu’en pensez-vous ?
    J'en pense qu'il n'y a pas besoin du code-source pour coder un clone d'un logiciel et le rendre malveillant.

    De plus, avec le code source, il est possible de vérifier si des fonctions malveillantes existent. Avec des logiciels propriétaires, ce n'est pas possible.

    Et sinon, si les personnes utilisaient les sites officiels, app store ou dépôts, ce genre de problème n'existeraient pas.

  4. #4
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    J'en pense qu'il n'y a pas besoin du code-source pour coder un clone d'un logiciel et le rendre malveillant.

    De plus, avec le code source, il est possible de vérifier si des fonctions malveillantes existent. Avec des logiciels propriétaires, ce n'est pas possible.

    Et sinon, si les personnes utilisaient les sites officiels, app store ou dépôts, ce genre de problème n'existeraient pas.
    Okay, je vais de suite relire toutes les sources de la suite office... Sans déconner, personne (les particuliers) ne relisent les sources code des gros projets comme celui-ci.

    DAns le cadre de téléchargement de softs open source, il faut absolument le télécharger sur le site officiel et si possible faire un check md5 du fichier. C'est d'ailleurs pour cela que les hash sont mis à disposition.
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  5. #5
    Membre émérite
    Homme Profil pro
    Développeur .NET
    Inscrit en
    avril 2006
    Messages
    1 627
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2006
    Messages : 1 627
    Points : 2 329
    Points
    2 329
    Par défaut
    Le md5 sera testé à la rigueur par un dev ou un connaisseur, qui déjà passera par le site officiel. Le particulier va taper download Filezilla, et ce sera au bonheur la chance de tomber sur un lien valide (parfois on se retrouve avec des url softonic en tête de page).

  6. #6
    Membre éprouvé
    Homme Profil pro
    -
    Inscrit en
    octobre 2011
    Messages
    344
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : -

    Informations forums :
    Inscription : octobre 2011
    Messages : 344
    Points : 1 235
    Points
    1 235
    Par défaut
    Casse-toi pas la tête, la partie intéressante du message de Atem18 est là*:
    Citation Envoyé par Atem18 Voir le message
    J'en pense qu'il n'y a pas besoin du code-source pour coder un clone d'un logiciel et le rendre malveillant.
    C'est vrai que je comprends pas ce que l'open-source vient faire là, à par rendre plus facile à cloner le logiciel. L'argument c'est que rendre le logiciel plus facile à cloner est une faille de sécurité, c'est ça ?

  7. #7
    Membre averti Avatar de Atem18
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    octobre 2012
    Messages
    91
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : octobre 2012
    Messages : 91
    Points : 328
    Points
    328
    Par défaut
    Citation Envoyé par laerne Voir le message
    Casse-toi pas la tête, la partie intéressante du message de Atem18 est là*:


    C'est vrai que je comprends pas ce que l'open-source vient faire là, à par rendre plus facile à cloner le logiciel. L'argument c'est que rendre le logiciel plus facile à cloner est une faille de sécurité, c'est ça ?
    C'est ce que le titre de cet article semble sous-entendre. Mais bon, ce n'est pas la première fois que Developpez.net fait des articles ayant pour vocation de discréditer les logiciels libres.

    Ceci étant dit, il existe par exemple, un logiciel chinois nommé Kingsoft Office, qui ressemble comme deux goûtes d'eaux à Microsoft Office. Ces derniers sont tous les deux propriétaires, ce qui n'a pas empêché la copie de l'interface de l'un par l'autre.

  8. #8
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 428
    Points
    2 428
    Par défaut
    Citation Envoyé par Shuty Voir le message
    Okay, je vais de suite relire toutes les sources de la suite office... Sans déconner, personne (les particuliers) ne relisent les sources code des gros projets comme celui-ci.

    DAns le cadre de téléchargement de softs open source, il faut absolument le télécharger sur le site officiel et si possible faire un check md5 du fichier. C'est d'ailleurs pour cela que les hash sont mis à disposition.
    Pour vérifier la sincérité du source, pas la peine de lire une seule ligne. Un check du hash md5 suffit.

  9. #9
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 455
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 455
    Points : 14 105
    Points
    14 105
    Par défaut
    C'est tout sauf une nouvelle menace et l'open-source n'est absolument pas un risque particulier dans ce cas là : ça fait plus de 30 ans que les virus savent transformer automatiquement n'importe quel exécutable en exécutable malveillant et sans avoir besoin du code source.

  10. #10
    Membre éclairé Avatar de Pilru
    Homme Profil pro
    Dev ASP.NET/jQuery ; Admin ORACLE
    Inscrit en
    septembre 2007
    Messages
    491
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Dev ASP.NET/jQuery ; Admin ORACLE

    Informations forums :
    Inscription : septembre 2007
    Messages : 491
    Points : 841
    Points
    841
    Par défaut
    Le titre de l'article me semble tendancieux. Car le problème n'est pas que Filezilla soit open-source, mais que certains utilisateurs n'aient pas téléchargé le soft depuis le site officiel.

    Le problème c'est l'imprudence des utilisateurs.

  11. #11
    Membre expérimenté
    Avatar de Jarodd
    Profil pro
    Inscrit en
    août 2005
    Messages
    845
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2005
    Messages : 845
    Points : 1 683
    Points
    1 683
    Par défaut
    Oui donc c'est plutôt positif pour l'open source non ? Un programme dont les sources ne sont pas publiques ne peut donc pas contenir de code malveillant ? Et s'il en a, on le découvre probablement plus facilement que sur un programme open source ?

    Concernant le conseil d'aller sur Sourceforge, il n'y a pas eu une polémique il y a quelques semaines, car la version d'un programme publié sur SF contenait un spyware (ou une barre à la con qui s'installait avec) ? Mes souvenirs sont flous...

  12. #12
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 5 239
    Points : 19 646
    Points
    19 646
    Billets dans le blog
    17
    Par défaut
    Il faut simplement récupérer les logiciels sur les sites officiels, ce n'est pas une exclusivité de l'opensource

    Combien on déjà eu des malwares/addwares en téléchargeant sur le site de telecharger.XX et autre portail de téléchargement d'applications
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  13. #13
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : juin 2009
    Messages : 472
    Points : 1 580
    Points
    1 580
    Par défaut
    C'est tout sauf une nouvelle menace et l'open-source n'est absolument pas un risque particulier dans ce cas là : ça fait plus de 30 ans que les virus savent transformer automatiquement n'importe quel exécutable en exécutable malveillant et sans avoir besoin du code source.
    Je rajouterai qu'il n'y a même pas besoin de toucher au binaire.
    La méthode de repackager le logiciel dans un "installShield" maison qui vous installera 20 spywares et cochonneries du genre est vieille comme Internet.

    Trés en vogue sur la plupart des sites de "Téléchargements" commerciaux.


    Mais concernant la news, il semblerait que dvp.com depuis longtemps déjà préfèrent les news à polémiques digne d'un tabloïd bas de gamme au contenu riche et aux analyses interessantes.
    It's not a bug, it's a feature

  14. #14
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    août 2010
    Messages
    1 649
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France

    Informations forums :
    Inscription : août 2010
    Messages : 1 649
    Points : 3 759
    Points
    3 759
    Par défaut
    Comme quoi il faut TOUJOURS télécharger un logiciel à partir de son site officiel. Cela limite les risques.

    Citation Envoyé par Uther Voir le message
    C'est tout sauf une nouvelle menace et l'open-source n'est absolument pas un risque particulier dans ce cas là : ça fait plus de 30 ans que les virus savent transformer automatiquement n'importe quel exécutable en exécutable malveillant et sans avoir besoin du code source.
    +1000.

    Cependant bien qu'il soit un peu fort, je trouve que le titre et l'article soulèvent une question fort intéressante. Les côtés publiques (liberté d'accès au sources) et collaboratifs de l'open source ne faciliteraient-ils pas l'insertion de code malveillant dans les sources, et donc dans les exécutables, des logiciels open-source ? Ce serait un peu ce que la NSA a fait avec certains protocoles de sécurité : y insérer des failles indétectables (ici du code malveillant indétectable) qui seraient ensuite exploitées à des fins malveillantes.
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  15. #15
    Membre éclairé
    Homme Profil pro
    Développeur C++
    Inscrit en
    octobre 2008
    Messages
    240
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Développeur C++

    Informations forums :
    Inscription : octobre 2008
    Messages : 240
    Points : 720
    Points
    720
    Par défaut
    Les gens ont qu'à arrêter d'aller sur des sites genre telecharger.com. Quand on souhaite installer une application, on va sur le site officiel.

    Ou mieux, on utilise son gestionnaire de paquets lorsqu'on est sur un système sûr et sécurisé

  16. #16
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 455
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 455
    Points : 14 105
    Points
    14 105
    Par défaut
    En effet, il est tout a fait envisageable qu'un contributeur malicieux essaie d'introduire du code dans un projet open source si les gestionnaires ne sont pas assez vigilant. Mais il faut voir que si open-source signifie que tout le monde peux réutiliser le code, cela ne signifie pas pour autant que les créateurs sont obligés d'accepter toutes les contributions.

    - les petits projets ont généralement peu de contributeurs qui se connaissent et se font confiance. La base de code étant petite il n'est pas évident pour un nouveau venu d'introduire discrètement une contribution malicieuse.
    - les gros projets ont des système de revue de code qui font que toute contribution est soigneusement analysée par plusieur développeurs de confiance avant d'être intégrée.

  17. #17
    lvr
    lvr est déconnecté
    Membre extrêmement actif Avatar de lvr
    Profil pro
    Responsable de projet fonctionnel
    Inscrit en
    avril 2006
    Messages
    892
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de projet fonctionnel
    Secteur : Arts - Culture

    Informations forums :
    Inscription : avril 2006
    Messages : 892
    Points : 1 310
    Points
    1 310
    Par défaut
    Citation Envoyé par Traroth2 Voir le message
    Quelle raison aurait-on de ne pas récupérer FileZilla sur le site officiel, déjà ?
    Tu fais recherche sur Google Download filezilla et dans les 6 1ers résultats tu trouves ... Soundforge n'arrive qu'après. Heureusement que le site officiel arrive avant. Encore heureux. Mais les sites potentiellement vérolés ne sont pas loin?

  18. #18
    Membre averti
    Profil pro
    Inscrit en
    mai 2007
    Messages
    192
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2007
    Messages : 192
    Points : 392
    Points
    392
    Par défaut
    le problème c'est le fait de se poser la question d'aller sur le site officiel.
    Beaucoup de gens entendentparler d'un logiciel, mettent le nom dans Google et vont choisir un des premiers liens (ne serait-ce que pour ne pas scroller).

    du coup c'est pas toujours un choix que de ne pas télécharger depuis le site officiel.
    Ce sont de bonnes habitudes à répendre autour de nous.

  19. #19
    Inactif  
    Profil pro
    Inscrit en
    février 2007
    Messages
    411
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : février 2007
    Messages : 411
    Points : 0
    Points
    0
    Par défaut
    Bien la preuve que l'open source ne veut pas dire 'codes sur'.

    Le monde des Bisousnours ce n'exista qu'a la TV

  20. #20
    Membre à l'essai
    Homme Profil pro
    Lycéen
    Inscrit en
    novembre 2013
    Messages
    9
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : novembre 2013
    Messages : 9
    Points : 24
    Points
    24
    Par défaut
    D'où l'intérêt de duckduckgo : quand on cherche un logiciel, il met automatiquement en haut de la page le lien vers le site officiel, ce qui évite de se prendre la tête à chercher le vrai site officiel (et non pas un clone pour faire installer n'importe quoi).
    Ou alors on passe par le gestionnaire de paquet ou équivalent s'il y en a. C'est globalement plus sécurisé.

Discussions similaires

  1. L’open source et le fork : couteau à double tranchant ?
    Par Hinault Romaric dans le forum Actualités
    Réponses: 20
    Dernier message: 12/05/2014, 12h42
  2. Pour ou contre l'Open source ?
    Par Thcan dans le forum Débats sur le développement - Le Best Of
    Réponses: 317
    Dernier message: 01/05/2008, 15h06
  3. Ou héberger un projet open source ?
    Par corwin dans le forum Linux
    Réponses: 11
    Dernier message: 05/05/2004, 16h33
  4. Visual basic version Open Source !!
    Par Ruddy16 dans le forum Langages de programmation
    Réponses: 15
    Dernier message: 31/03/2004, 19h15
  5. [Kylix] Kylix - total open source?
    Par LaGuimb dans le forum EDI
    Réponses: 5
    Dernier message: 25/12/2003, 14h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo