Le problème, c'est que les entreprises ne se soucient pas assez des données qu'ils hébergent. Avoir un expert en sécurité, qui pourrait pointer du doigt les endroits ou les attaques sont possibles et le remonter au développeur pour qu'il comble la faille.
J'ai l'impression qu'un expert en secu est un peu considéré comme les intégrateurs quelques années auparavant, les dev font l’intégration html... et on se retrouve généralement avec un truc horrible.
Non, non, je suis tout à fait d'accord avec cela.
Mais, je lis
Et je me dis : "Comment être sûr à présent que les dépôts sont sains ?"Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés
On nous bassine à tout les coins de sujets traitant de Windows, que le libre est plus sécurisé, et là, on voit que ce n'est peut-être pas aussi certain qu'on voulait bien le dire. C'est tout. Je ne veux pas polémiquer. Je m'interroge (contrairement à d'autres).
Partir du principe qu'ils sont malsains fait une comparaison avec les sauvegardes des dépôts sur les x derniers jours/mois/années/siècles/millénaires.
Et t'en a qui, à tous les coins de sujets traitant de Windows, vont inlassablement répéter que Windows c'est trop bien (comme si on avait pas fini par le comprendre à force) et qui, à tous les coins de sujets traitant du libre, vont reposer encore et encore les mêmes questions "juste pour s'interroger", même quand des réponses à ces questions ont déjà été données.
Et si on stoppait le troll et on repartait dans le sujet :
Que peut-on faire pour éviter que cela se reproduise ? Y a-t-il déjà des personnes chargées de la sécurité ou est-ce les développeurs eux même qui s'en préoccupent ?
Et puis aussi, certe, celle là à réussi, mais combien d'attaques auparavant ont échoué ?
Oui, mais ça ne rassure pas sur la suite.
Quelqu'un a posé la question : "Pour cette attaque qui a réussi, combien ont échoué ?" C'est une bonne question. On pourrait aussi poser la question suivante : "Pour cette attaque réussie qui a été détectée, combien ont réussie sans être détectée ?"
Et si on se pause cette question toute bête, on se pause alors la question de la sécurité des logiciels dont les dépôts sont accessibles depuis ce site, non ?
Moi, je ne dis pas que Windows c'est trop bien (d'abord parce rien n'est jamais TROP bien), je dis juste qu'il ne faut pas jeter la pierre au seul OS utilisé par des millions de personnes, attaquer par tous les pirates du monde entier, d'avoir quelques fois des petits soucis.
Ensuite, pour ce qui est des réponses fournies pour vanter les mérites des logiciels libres et de leur sécurité légendaire, c'est toujours les mêmes, et elles ne résistent justement pas à ce qui vient de se passer sur ce site !
C'était là, la nuance de mes propos !
hello,
si tu avais pris le temps de lire mon post, et d'aller jeter un oeil au code source de l’application, en l’occurrence savane, exploitée par se site, nongnu.savannah.org et d'autres.
Tu aurais pu y lire les derniers commits effectués concernant d’éventuelles injections sql.
Tu aurais pu y lire que ce qui est en cause, en prenant le changelog à disposition, que ce n'est pas le langage comme cité plus haut, ni les outils employés, probablement du lamp ou équivalent, mais le code produit et exploité par les développeurs qui est en cause.
Car, mais il fallait aller le lire, il manquait surtout des appels à quelques fonctions existantes pour protéger les chaines en entrer avant de les envoyer au serveur de bdd.
Donc bon, il ne faut pas tout confondre, et ici l'erreur n'à rien à voir avec le sous système,
mais
- les choix de développement,
- la qualité des tests qui y sont appliqués pour le contrôler et le vérifier.
fin bref.
a +
*sort sa cape de Super-Défenseur-de-Posteurs-Incompris*
Mais ça Louis le sait, on l'a même dit plus haut, que c'est une erreur côté développeur et pas technologie utilisée. Il n'a jamais insinué que c'était un problème de sous-système.
Ce qu'il essaye de dire (du moins je pense) c'est que d'après la news un serveur hébergeant des sources a été "corrompu", à savoir :
Donc moi ce que je comprend c'est que les pirates auraient pu faire pire avec les dépôts (moi je ne sais pas comment ils sont gérés en interne et ce que l'attaque aurait pu faire d'autre) du coup je me méfie. Et ils ont utilisé un moyen "classique" dont on aurait pu supposer que le site eût été immunisé (notez le conditionnel).Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.
En interprétant tout ça, on serait en droit de se demander si les dépôts de sources sont si sûrs qu'on nous le dit. Ca ne veut pas dire qu'ils ne sont pas sécurisés mais juste que cet incident, aussi exceptionnel soit-il, amène la question de manière légitime.
Supposons que dans le pire des cas les sources ont été modifiées, les développeurs s'en s'aperçoivent rapidement en regardant l'historique du gestionnaire de projet.
Je comprends qu'on puisse se poser la question mais dans la pratique, je pense que les modifs se voient tout de suite.
Mouais... l'historique serait enregistré dans un fichier... bof.
On voit que tu n'utilises pas de gestionnaire de versions.
Si l'historique était modifié, ça se verrait très rapidement, parce que pour les gestionnaires de version, l'historique n'est pas un fichier que l'on abandonne dans un coin, en y écrivant de temps en temps, mais il est utilisé pour un grand nombre d'actions (revert, merge, etc)
Ça n'a rien à voir. Le logiciel libre sera peut-être (j'aurai plutôt dit "probablement", mais c'est hors sujet) plus sécurisé, mais pour une attaque de ce genre, ça n'aurait rien changé, puisque c'est le code source lui-même qui a été accédé, et non pas le logiciel libre.
Par contre, il est vrai, que les entreprises faisant du code privateur gardent en général leur dépôt hors ligne ; mais là, c'est dû à une organisation différente de l'architecture.
Je trouve naïf de ta part de penser qu'il est impossible de modifier un gestionnaire de versions.On voit que tu n'utilises pas de gestionnaire de versions.
Si l'historique était modifié, ça se verrait très rapidement, parce que pour les gestionnaires de version, l'historique n'est pas un fichier que l'on abandonne dans un coin, en y écrivant de temps en temps, mais il est utilisé pour un grand nombre d'actions (revert, merge, etc)
Comme j'aime bien dire : Tout est fichiers
HE bien, ça fait du bien de voir que certains savent lire et comprendre, que tous n'ont pas des œillères !
Merci à toi !
Je suis d'une nature optimiste, mais pas naïf !
Ça se voit, oui ! Si on les cherche parce que l'on a un doute.
Mais, imagine que l'attaque ne soit détectée que 6 mois/ 1 an plus tard. Ou même pas détectée du tout. Pourquoi aller chercher des modifs dans du code que personne n'a touché, pourquoi remettre en question des choses fiables ?
Exactement !
Et d'après toi, c'est quoi l'historique ?
Et surtout, j'imagine que tout le monde se souvient de ce que contenant l'historique 2/3 ans plus tôt !
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager