Discussion :

[Bruno]

Un logiciel malveillant Linux voleur de mots de passe a fonctionné pendant 3 ans,
sans que personne ne le remarque

Les chercheurs de Kaspersky Lab ont révélé que le site de téléchargement freedownloadmanager[.]org a été utilisé pour distribuer des logiciels malveillants aux utilisateurs de Linux. Ces logiciels malveillants ont été conçus pour voler des mots de passe et d’autres informations sensibles. Cette activité malveillante aurait duré plus de trois ans.

Le site freedownloadmanager[.]org a proposé une version du logiciel Linux connu sous le nom de Free Download Manager. Cependant, à partir de 2020, le même domaine aurait parfois redirigé les utilisateurs vers le domaine deb.fdmpkg[.]org, qui proposait une version malveillante de l’application. Cette version malveillante contenait un script qui téléchargeait deux fichiers exécutables dans les chemins de fichiers /var/tmp/crond et /var/tmp/bs. Le script utilisait ensuite le planificateur de tâches cron pour lancer le fichier dans /var/tmp/crond toutes les 10 minutes.

La version de Free Download Manager installée par le paquet infecté a été publiée le 24 janvier 2020. Parallèlement, le script postinst contient des commentaires en russe et en ukrainien, notamment des informations sur les améliorations apportées au logiciel malveillant, ainsi que des déclarations d'activistes. Ils mentionnent les dates 20200126 (26 janvier 2020) et 20200127 (27 janvier 2020).

Les appareils qui avaient installé la version piégée de Free Download Manager étaient ainsi définitivement compromis. Ce logiciel malveillant Linux voleur de mots de passe a fonctionné pendant plus de trois ans sans que personne ne le remarque. En juillet 2022, des chercheurs en cybersécurité ont découvert un nouveau logiciel malveillant Linux nommé Orbit qui crée une porte dérobée dans les machines et serveurs infectés, permettant aux cybercriminels de voler discrètement des informations sensibles tout en maintenant leur présence sur le réseau.

Le malware Orbit fournit aux cybercriminels un accès à distance aux systèmes Linux, ce qui leur permet de voler des noms d’utilisateur et des mots de passe et d’enregistrer des commandes TTY – les entrées effectuées dans le terminal Linux. Les menaces qui ciblent Linux continuent d’évoluer tout en réussissant à rester sous le radar des outils de sécurité. Orbit est un exemple de plus de la façon dont les nouveaux logiciels malveillants peuvent être évasifs et persistants.

Une porte dérobée basée sur le DNS

Une fois le paquet malveillant installé, l'exécutable /var/tmp/crond est lancé à chaque démarrage via cron. Cet exécutable est une porte dérobée et n'importe aucune fonction de bibliothèques externes. Pour accéder à l'API Linux, il invoque des appels de système à l'aide de la bibliothèque dietlibc liée statiquement.

Au démarrage, cette porte dérobée effectue une requête DNS de type A pour le domaine <chaîne de 20 octets codée en hexadécimal>.u.fdmpkg[.]org. En réponse à cette requête, la porte dérobée reçoit deux adresses IP qui codent l'adresse et le port d'un serveur C2 secondaire. Les adresses suivantes ont été renvoyées au moment de nos recherches :

• 172.111.48[.]101 ;
• 172.1.0[.]80

La première adresse IP de la liste ci-dessus est l'adresse du serveur C2 secondaire, tandis que la deuxième adresse contient le port de connexion (codé dans les troisième et quatrième octets) et le type de connexion (codé dans le deuxième octet).

Après avoir analysé la réponse à la requête DNS, la porte dérobée lance un shell inversé, en utilisant le serveur C2 secondaire pour les communications. Le protocole de communication est, selon le type de connexion, soit SSL, soit TCP. Dans le cas de SSL, la porte dérobée crond lance l'exécutable /var/tmp/bs et lui délègue toutes les communications ultérieures. Dans le cas contraire, le shell inversé est créé par la porte dérobée crond elle-même.

Un dérobateur de Bash

Après avoir découvert que la porte dérobée crond crée un shell inversé, nous avons décidé de vérifier comment ce shell est utilisé par les attaquants. Pour ce faire, nous avons installé le paquet Free Download Manager infecté dans un bac à sable d'analyse des logiciels malveillants. Après avoir analysé le trafic généré par crond, nous avons déterminé que les attaquants avaient déployé un voleur Bash dans le bac à sable.

Ce voleur collecte des données telles que des informations système, l'historique de navigation, des mots de passe enregistrés, des fichiers de portefeuilles de cryptomonnaies, ainsi que des informations d'identification pour des services cloud (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure).

Après avoir recueilli des informations sur la machine infectée, le voleur télécharge un binaire de téléchargement à partir du serveur C2 et l'enregistre dans /var/tmp/atd. Il utilise ensuite ce binaire pour télécharger les résultats de l'exécution du voleur vers l'infrastructure des attaquants. Aucune autre activité réalisée via le reverse shell n’a été observée, et la chaîne d'infection complète peut donc être décrite à l'aide du graphique ci-dessous :

Le mystère du vecteur d'infection

Après avoir analysé tous les éléments de la chaîne, les chercheurs ont voulu savoir comment le paquet Debian infecté avait été distribué aux victimes. Ils ont consulté le site officiel de Free Download Manager (freedownloadmanager[.]org). Les paquets disponibles au téléchargement sur ce site se sont avérés être hébergés sur le domaine files.freedownloadmanager[.]org, et ils n'ont pas fait l'objet d'un backdoored.

Les chercheurs ont ensuite décidé d'effectuer une vérification des sources ouvertes sur le domaine fdmpkg[.]org. Cette vérification a révélé une douzaine de messages sur des sites web tels que StackOverflow et Reddit, dans lesquels les utilisateurs discutaient des problèmes causés par la distribution infectée de Free Download Manager, sans se rendre compte qu'ils étaient en fait victimes d'un logiciel malveillant. Comme dit précédemment, ces messages ont été publiés sur une période de trois ans, de 2020 à 2022.

Dans l'un de ces messages, l'auteur se plaint du message « Waiting for process : crond » qui empêche l'ordinateur de s'éteindre :

Les réponses à cet article, provenant d'utilisateurs confrontés au même problème, suggèrent que ce problème est causé par le logiciel Free Download Manager. Elles conseillent de supprimer les fichiers /etc/cron.d/collect, /var/tmp/crond et /var/tmp/bs. Cependant, aucun ne mentionne que ces trois fichiers sont malveillants.

Le logiciel malveillant observé dans cette campagne est connu depuis 2013. En outre, les implants se sont révélés assez bruyants, comme le montrent les nombreux messages postés sur les réseaux sociaux. Selon notre télémétrie, les victimes de cette campagne sont localisées dans le monde entier, notamment au Brésil, en Chine, en Arabie Saoudite et en Russie. Compte tenu de ces faits, il peut sembler paradoxal que le paquet malveillant Free Download Manager soit resté indétecté pendant plus de trois ans. Cela serait dû aux facteurs suivants :

• la fréquence d’observation de logiciels malveillants sur Linux est beaucoup plus faible que sur Windows ;
• les compromissions par le paquet malveillant de Debian se sont produites avec un certain degré de probabilité : certains utilisateurs ont reçu le paquet compromis, tandis que d'autres ont fini par télécharger le paquet bénin ;
• les utilisateurs de réseaux sociaux qui discutent des problèmes liés à Free Download Manager ne soupçonnent pas qu'ils sont dus à des logiciels malveillants.

Les logiciels malveillants ciblant Linux sont beaucoup moins fréquents que ceux ciblant Windows. Cependant, il est important de noter que la quantité de logiciels malveillants pour Linux a augmenté de manière exponentielle au cours du premier semestre 2022, atteignant un niveau record après la découverte de 1,7 million d’échantillons par les chercheurs. En comparaison, Windows reste le système d’exploitation le plus infecté par des logiciels malveillants, avec 41,4 millions d’échantillons nouvellement programmés identifiés au premier semestre 2022.

Les services gratuits ne sont pas vraiment gratuits

La réalité est que les services gratuits ne sont pas gratuits, et beaucoup de ces milliards d'utilisateurs sont heureux d'être complices afin de rendre leur vie plus facile. Bien qu’ils ne coûtent pas d’argent au départ, ils s’accompagnent souvent de coûts cachés, tels que la collecte et l’utilisation de données personnelles pour la publicité ciblée. L’exemple de Google et Facebook est une illustration parfaite. Une étude réalisée en 2019 par le Centre for Data Innovation s'est penchée sur le compromis entre l'échange de données et l'accès aux services en ligne. Elle a révélé que 80 % des utilisateurs américains souhaitaient que Facebook et Google collectent moins de données les concernant.

Toutefois, lorsqu'on leur demande quels compromis ils seraient prêts à faire pour y parvenir, ils se montrent plus ambivalents. Lorsqu'on leur demande s'ils accepteraient de collecter moins de données mais de perdre certaines fonctionnalités de ces services, ils ne sont plus que 64 % à les soutenir. Lorsqu'on leur demande s'ils seraient prêts à payer un abonnement mensuel pour que Facebook et Google collectent moins de données, ils ne sont plus que 25 %.

Bien que la campagne soit actuellement inactive, le cas de Free Download Manager montre qu'il peut être très difficile de détecter à l'œil nu les cyberattaques en cours sur les machines Linux. Il est donc essentiel que les machines Linux, qu'il s'agisse d'ordinateurs de bureau ou de serveurs, soient équipées de solutions de sécurité fiables et efficaces.

Source : Kaspersky

Et vous ?

Comment le site freedownloadmanager[.]org a-t-il pu distribuer des logiciels malveillants pendant plus de trois ans sans être détecté ?

Comment les utilisateurs de Linux peuvent-ils se protéger contre les logiciels malveillants tels que celui distribué par freedownloadmanager[.]org ?

Quelles sont selon vous, les mesures que les utilisateurs de Linux peuvent prendre pour éviter d’être victimes de logiciels malveillants ?

Croyez-vous aux services gratuits en ligne ?

Voir aussi :

Un hébergeur danois déclare que ses clients ont « perdu toutes leurs données », après une attaque par rençongiciel

Les organisations ne parviennent à empêcher que six cyberattaques sur dix, selon le rapport de Picus Security

Kubernetes exposé : Un Yaml près du désastre, 72% des installations sont non sécurisées et exposées aux attaques

[SQLpro]

C'est quand même bizarre ! Je croyais que le logiciel libre compte tenu du code ouvert et des millions d'informaticiens qui scrutent les lignes de code journellement et à la loupe n'aurait pas mis plus de 48h pour déceler ce genre de faille... Nous aurait-on menti sur la fiabilité de Linux ?

[archqt]

C'est quand même bizarre ! Je croyais que le logiciel libre compte tenu du code ouvert et des millions d'informaticiens qui scrutent les lignes de code journellement et à la loupe n'aurait pas mis plus de 48h pour déceler ce genre de faille... Nous aurait-on menti sur la fiabilité de Linux ?

Quand c'est un logiciel connu avec les sources dans les dépôts OUI, mais là c'est un logiciel hors dépôt. La remarque est aussi pertinente que de dire après avoir téléchargé un apk vérolé en dehors du Play Store "Je croyais que google protégeait ses utilisateurs". Essaye de modifier le code du noyau linux et ce sera vu assez rapidement.

[binarygirl]

Essaye de modifier le code du noyau linux et ce sera vu assez rapidement.

Il y a eu des tentatives comme celle-ci: How a university got itself banned from the Linux kernel

[chrtophe]

Je croyais que le logiciel libre compte tenu du code ouvert et des millions d'informaticiens qui scrutent les lignes de code journellement et à la loupe n'aurait pas mis plus de 48h pour déceler ce genre de faille

Remarque sans fondement.

Tout ce qui fonctionne sous Linux n'est pas du code ouvert, donc si tu installes n'importe quoi ... d'autant plus si le produit demande des privilèges élevés. Tu peux trouver des produits libres sous Windows également.

Et dans ce cas précis, tu téléchargerais un truc d'une usine à download toi ? Il y des gens qui le font (à leur insu ou non), ce qui fait que des hôpitaux, des villes se retrouvent cryptolockés, infras sur ...... Windows.

Si tu installes un .deb ne provenant pas d'un dépôt officiel, tu n'a aucune garantie de quoi il s'agit, si c'est opensource, closesource, que ça a été relu ou non. Après tu peux toujours installer la clé d'un dépôt non officiel, tu n’auras aucun avertissement. Tu peux aussi travailler en utilisateur root sans mot de passe. Ah non, les principales GUI refuseront de démarrer en root.

Sous Windows, le produit est signé ou non avec la signature authenticode, qui garantie l’identité de l'éditeur du produit, aucunement sa fiabilité ou que le code soit de qualité, opensource ou non.

Si tu regardes cette page concernant SQL Server sous Linux:
https://www.opencve.io/cve?vendor=mi...uct=sql_server

Sur les 3 premières pages que j'ai regardé, il n'y a qu'une entrée ou Linux est impliqué, tout le reste c'est Microsoft. Quel est le point commun avec Windows ? Microsoft

[Escapetiger]

Essaye de modifier le code du noyau linux et ce sera vu assez rapidement.

Il y a eu des tentatives comme celle-ci: How a university got itself banned from the Linux kernel

Des chercheurs ont secrètement tenté d'ajouter des vulnérabilités au noyau Linux
Et ont fini par être bannis

[LeBressaud]

Si tu installes un .deb ne provenant pas d'un dépôt officiel, tu n'a aucune garantie de quoi il s'agit, si c'est opensource, closesource, que ça a été relu ou non.
[...]
Sous Windows, le produit est signé ou non avec la signature authenticode, qui garantie l’identité de l'éditeur du produit, aucunement sa fiabilité ou que le code soit de qualité, opensource ou non.

En prenant un package d'un repos officiel il n'y aucune garantie non plus que le code soit relu..., et que le code soit relu ne garantis pas grand choses non plus. Les projets open sources, même d'ampleur, sont souvent gérés par des petites équipes avec peu de moyens. C'est pas très compliqué d'insérer une vulnérabilité qui ressemble à bug dans une PR a priori légitime un peu conséquente.

Avoir un contrôle sur l'identité de l'éditeur ca ne garantis effectivement rien sur la qualité mais c'est déjà un gros plus vu la propension qu'ont les utilisateurs à prendre le premier lien qui traine sur internet.

[FDM_team]

L'équipe de Free Download Manager vous salue. Nous prenons acte des rapports concernant les problèmes de sécurité et nous vous assurons que nous enquêtons activement sur leur historique. À l'heure actuelle, tous les liens du site web de FDM sont sécurisés et fonctionnels. Pour un aperçu complet de la situation, nous avons fait une annonce officielle sur notre site web. Nous encourageons tout le monde à obtenir plus d'informations ici.

Annonce de sécurité importante à nos précieux utilisateurs
13 septembre 2023

Chère communauté,

Nous souhaitons vous faire part d'un problème de sécurité important qui a récemment été porté à notre attention. Il est primordial pour nous de préserver votre confiance, et dans notre volonté de transparence, nous souhaitons vous fournir un compte-rendu clair et direct de la situation.

Ce qui s'est passé : Aujourd'hui, informés par les conclusions de Kaspersky Lab, nous avons pris connaissance d'un incident de sécurité survenu en 2020. Il semble qu'une page web spécifique de notre site ait été compromise par un groupe de pirates ukrainiens, qui l'ont exploitée pour distribuer des logiciels malveillants. Seul un petit sous-ensemble d'utilisateurs, en particulier ceux qui ont tenté de télécharger FDM pour Linux entre 2020 et 2022, a été potentiellement exposé. On estime que moins de 0,1 % de nos visiteurs ont pu rencontrer ce problème. Cette portée limitée est probablement la raison pour laquelle le problème n'a pas été détecté jusqu'à présent. Il est intéressant de noter que cette vulnérabilité a été résolue à notre insu lors d'une mise à jour de routine du site en 2022.

Nos actions immédiates : Après cette découverte, nous avons lancé une enquête approfondie. Nous renforçons nos défenses et mettons en œuvre des mesures supplémentaires pour prévenir de telles vulnérabilités à l'avenir.

Recommandations pour les utilisateurs : Si vous faites partie du sous-ensemble d'utilisateurs qui ont essayé de télécharger FDM pour Linux à partir de notre page compromise pendant la période mentionnée, nous vous recommandons vivement de procéder à une analyse des logiciels malveillants sur votre système et de mettre à jour vos mots de passe par mesure de précaution.

Problèmes de communication : Nous avons également découvert un problème avec l'un de nos formulaires de contact qui pourrait avoir empêché une communication rapide, probablement le formulaire utilisé par les représentants de Kaspersky Lab pour nous contacter. Si vous avez tenté de nous contacter à propos de ce problème ou d'un autre problème connexe sans recevoir de réponse, veuillez nous contacter à nouveau à l'adresse support@freedownloadmanager.org.

Nous nous excusons sincèrement pour tout inconvénient ou préoccupation que cela pourrait causer. Assurer votre sécurité numérique reste au premier plan de nos efforts, et nous sommes inébranlables dans notre engagement à sauvegarder votre confiance.

Nous vous remercions de votre patience et de votre compréhension. Nous vous tiendrons au courant de l'évolution de la situation.

Meilleures salutations, l'équipe de Free Download Manager

[marsupial]

systemd, implémenté depuis 2015 dans la plupart des distributions GNU/Linux, rend insensible à la faille exploitée. Cela explique peut-être pourquoi il ne s'est pas fait remarquer plus tôt.

[JPLAROCHE]

le logiciel open-source cela veut bien dire que les source sont à disposition et ouvert, rien de caché, d'ailleurs lorsque je fais des publications il n'y a que des sources sur des sujets très précis, voir de la documentation pour aider à l'installation à partir de votre distribution.

Hors mis cela, j'applique le saint principe, je ne travaille pas avec l'administrateur qui lui est un vrai fainéant puisqu'il ne fait que l'installe ou la mise à jour.

mais l'open-source on veut sa peau .......

[Fagus]

j'avais ce logiciel installé sous windows. (par ailleurs assez pratique autrefois, moins maintenant).

Je pense pas que le problème ce soit tant

• sur la réalité de la relecture du code source. Comme ça a été dit, le kernel linux est très surveillé, mais pour le reste, je vois pas trop comment ce serait autant le cas.
  Il peut se passer plein de choses : une équipe crée de l'open source et après des années s'en sert pour injecter une faille ; un dév se fait voler son compte ; un serveur est compromis (comme ici)...
• Quant aux dépôts... Eux aussi ont des ressources limitées. ça m'arrive assez souvent de récupérer une version hors dépôt (pas à jour, version cassée...) en compilant ou en binaire quand ça compile pas...

À mon humble avis, le problème est que windows et linux ont été conçus et sont livrés sur l'hypothèse fausse de confiance par défaut, contrairement à android.
Objectivement, il n'y a aucune raison que tous les programmes utilisateur puissent écrire dans tous les fichiers utilisateur par défaut, ce devrait être optionnel.
De même pour la lecture de toutes les frappes clavier, il n'y a aucune raison que tous les programmes aient un accès complet par défaut.
Idem l'accès réseau.

[chrtophe]

En prenant un package d'un repos officiel il n'y aucune garantie non plus que le code soit relu

Avant qu'une distro ne soit officialisée, il y a comme pour Windows d'ailleurs des pre-releases. Par contre sous Windows un nombre réduit de personnes y ont accès, déjà à ce niveau ça diminue le nombre de potentiels testeurs.

Ensuite, le noyau, les interfaces graphiques (sous Windows une seule est dispo), ainsi que les outils principaux sont opensource donc avec le code accessible et ce depuis les dépôts officiels.

Quel est la solution la plus efficace pour trouver des bugs ? limiter l'accès au code source permettant à potentiellement des milliers de personnes de relire le code, ou le rendre accessible à nombre restreint d'employés comme des centaines ?

que le code soit relu ne garantis pas grand choses non plus. Les projets open sources, même d'ampleur, sont souvent gérés par des petites équipes avec peu de moyens.

La quantité ne signifie pas qualité. Mais comment garantir la qualité quand la revue de code est une charge pour l'entreprise à l'origine de celui-ci, et qu'elle a potentiellement donc intérêt à ne pas mettre le personnel suffisant, et donc se retrouver également avec une équipe avec peu de moyens, potentiellement ne pas corriger des failles découvertes car la reprise de code représente un cout, le code n'étant pas public, qu'est ce qui te garantie qu'ils ne corrigent que si c'est découvert ? Je ne dis pas que ça se fait mais que c'est possible.


Il est légitime de ne pas vouloir révéler ses secrets de fabrication, mais ce qu'on fabrique et qu'on vend, on en est responsable.

Mais remarques pertinentes.

En réponse à FDM_Team (réponse qui n'engage que moi) :

le site de téléchargement freedownloadmanager[.]org a été utilisé pour distribuer des logiciels malveillants aux utilisateurs de Linux.

Pour moi c'est la même chose que dire Darty a distribué pendant 3 ans des Iphones 12 non conformes, c'est pas Darty qui est en cause.

[Marc_marc]

FDM_team votre reponse me donne une etrange impression :
- c'est que 0.1% donc c'est pas grave... mais pour 100% des gens qui l'ont eu, cela ne les importe pas si le voisin n'a rien subit
- le fait que le probleme n'ai ete resolu que parce que votre site web a subit une reforme, c'est pour le moins etonnant.
donc vous n'avez recompile le programme pendant 2 ans ? a tout le moins, il y a des bugs dans les librairies qui necessite de temps a autre une recompilation.
de meme, c'est un fail-by-design... le piratage d'un site web ayant modifie un repertoire du dit-serveur devrait generer une anomalie dans les 24h (par ex rsync comparatif depuis le serveur interne). on ne peux plus au 21ieme siecle faire un site web qui necessite intervention humaine pour detecter un probleme aussi basique qu'une modification de checksum

[philouZ]

Moi ce qui m'étonne le plus c'est le manque de réalisme de la communauté Linux. Ca fait des années que j'entends "Nous sur Linux on n'a pas de virus", "Windows c'est nul, et au niveau sécurité c'est zéro" ou encore "l'open source c'est mieux parce qu'on a accès au code source donc on sait ce qu'on installe". Il faut se dire que la grande majorité des gens ne savent pas ce qu'ils installent.

Ensuite, il est évident qu'il est plus intéressant pour des petits vilains d'aller cibler la communauté la plus importante. Mais avec l'ampleur qu'a pris Android, on s'attaque désormais à Android et à Windows. Mais comme il y a de plus en plus de serveurs sous Linux, alors on s'attaque à Linux également. Aucun système n'est sécurisé à 100% et on aura toujours un petit malin qui sera venu avec une clé USB pour montrer les photos de son dernier voyage ou pour déposer un document qu'il aura récupéré de chez lui ou ailleurs.

Il serait juste temps d'accepter qu'il va y avoir de plus en plus de cryptolocker et autres outils de ce genre qui vont cibler Linux, Windows et tout autre système qui aura été jugé intéressant.

D'ailleurs je suis certain qu'il y a d'autres utilitaires de ce genre qui trainent sur les systèmes et qui n'ont pas encore été découverts.

[Marc_marc]

comme il y a de plus en plus de serveurs sous Linux

petit correctif historique : internet est ne avec 100% de serveur linux/unix et assimile
ce n'est que "recemment" qu'il y a un % de windows serveur (dont la securite moyenne me semble catastrophique d'apres mon experience mais ca c'est un autre debat).
et il y a aussi beaucoup plus de serveur linux installe a l'arrache (=sans qlq attentif un minimum a la securite)

pour le reste d'accord avec toi : le gars qui install un pinguin, sans mdp root, ne fait jamais les maj de securite, installe des logiciels depuis n'importe ou, il n'est pas plus en securite sous linux que sous windows parce que l'os n'est pas fait pour contrer efficacement un manque de securite entre la chaise et le clavier.

d'ailleurs c'est peut-etre par la que devrait aller l'amelioration la plus facile : etre le plus "securise-par-defaut"
de la meme maniere que sshd ne laisse pas connecter en root si tu n'as pas de mdp et ignore les clefs dans des repertoires passoires , il pourrait ne pas se lancer si tu n'as ni mdp ni clef ssh, il pourrait tenter une maj avant de se lancer, etc
cela n'interdira evidement pas a quelqu'un d'installer un logiciel hors depot et d'en subir les consequences, mais cela limitera les degats de piratage du a des logiciels pas a jour

[Eric80]

C'est quand même bizarre ! Je croyais que le logiciel libre compte tenu du code ouvert et des millions d'informaticiens qui scrutent les lignes de code journellement et à la loupe n'aurait pas mis plus de 48h pour déceler ce genre de faille... Nous aurait-on menti sur la fiabilité de Linux ?

on sent une pointe de sarcasme dans ce commentaire un peu naïf, non?

Certains ont répondu sur les sources des dépôts, d'autres sur si le code est relu ou pas.
Le + critique reste AMHA la partie relecture (review). Le code a beau être ouvert et même relu par plusieurs personnes, les failles les plus sournoises sont très difficiles à détecter à la lecture dudit code, donc le code ouvert peut bien avoir été relu 100 fois, mais cela ne garanti PAS qu'il est sans faille!

in fine, on ne peut PAS prouver (mathématiquement) qu'un logiciel est sans bug ou sans vulnérabilité; on peut juste réduire les risques.

D'ailleurs, je serais curieux de connaître l'optimum statistique en nombre de relecteurs: en théorie, + il y en a, mieux c'est car + la probabilité de détecter une faille augmente.
Mais j'imagine qu au dela d un certain seuil, l'humain fait confiance à ses prédécesseurs, par ex en mode "si 1000 personnes ont déjà validé ce bout de code, pas besoin que je m'y colle en détail"!

[FDM_team]

Salutations de la part de l'équipe de Free Download Manager ! Voici notre dernière mise à jour concernant le problème. Nous avons créé un script bash que vous pouvez utiliser pour vérifier la présence du malware dans votre système. Veuillez obtenir le script et consulter nos instructions sur notre page officielle : https://www.freedownloadmanager.org/blog/?p=664
Nous nous excusons une fois de plus sincèrement pour tout inconvénient qui aurait pu être causé.

Greetings from the Free Download Manager team! Here is our latest update regarding the issue. We have created a bash script that you can use to check the presence of the malware in your system. Please get the script and review our instructions on our official page: https://www.freedownloadmanager.org/blog/?p=664
We once again sincerely apologize for any inconvenience that might have been caused.

[Marc_marc]

Voici notre dernière mise Ã* jour

votre programme se met-il a jour automatiquement ou a minima provoque un message de maj dispo (sans que l'utilisateur ai besoin de lancer le programme) ?

[N_BaH]

Salutations de la part de l'équipe de Free Download Manager ! Voici notre dernière mise à jour concernant le problème. Nous avons créé un script bash que vous pouvez utiliser pour vérifier la présence du malware dans votre système. Veuillez obtenir le script et consulter nos instructions sur notre page officielle : https://www.freedownloadmanager.org/blog/?p=664
Nous nous excusons une fois de plus sincèrement pour tout inconvénient qui aurait pu être causé.

cherchez-vous un motif avec des points ? alors ce doit être infection_indicator="deb\.fdmpkg\.org", et pour une liste d'éléments, je suggère d'utiliser un tableau :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
directories=( /var/tmp /lost+found /lib /lib64 /etc/openal /etc/thermald )
#...
for dir in "${directories[@]}"; do...

Mais si le script doit être portable (parce qu'on ne peut présumer de la version du shell disponible), alors il ne faut pas utiliser bash, mais #!/bin/sh. On indique ainsi clairement que le script doit se conformer strictement à la norme POSIX.