Discussion :

[Francis Walter]

Open source, épée à double tranchant ?
Le code de FileZilla exploité pour créer une version malveillante quasi identique

Les développeurs d’Avast ont récemment découvert un programme malveillant dans le client FTP FileZilla. L’étude effectuée sur le malware a été publiée dans un billet sur le blog de l’éditeur d’antivirus.

En effet, il existe des versions du client FTP FileZilla vérolées. FileZilla est un programme open source. Son code source a été modifié par des développeurs malintentionnés en vue de voler les informations d’identification FTP et SFTP des utilisateurs. Les internautes utilisant des serveurs FTP pour leurs téléchargements font face à de grands risques d’infection. « Le client FTP malveillant installé ressemble à la version officielle et il est entièrement fonctionnel ! Vous ne pouvez pas détecter de comportement suspect, y compris concernant les entrées dans le registre système, de la communication ou de changements au niveau de l’interface », peut-on lire dans le billet. Les versions du client FileZilla concernées sont les versions 3.7.3 et 3.5.3. Elles possèdent une interface graphique très semblable à celle officielle. Néanmoins, de fausses informations se sont glissées au niveau de la partie « À propos de FileZilla », concernant la version du SGBD SQLite utilisée.

D’autres dissemblances ont été remarquées au niveau de la taille des versions vérolées qui pèsent seulement 6,8 Mo et la présence de deux nouveaux fichiers dll : ibgcc_s_dw2-1.dll et libstdc+ + 6.dll. « Toute tentative de mise à jour de l’application échoue », explique Avast. Cette version malveillante a été compilée en Septembre 2012.

Le programme est utilisé sur de faux sites de téléchargements avec de fausses informations et est présenté comme étant la version originale. Les utilisateurs peuvent ne pas se rendre compte du téléchargement à l’installation, car le malware procède de la même manière que l’original. La seule différence pouvant être remarquée lors de l’installation se trouve au niveau de la version du logiciel NullSoft utilisée.

Cependant, les développeurs d’Avast ont réussi à obtenir plus d’informations sur le processus de fonctionnement du faux programme : « Nous avons trouvé les détails de connexion des pirates après une analyse approfondie. Les auteurs de malwares abusent souvent du code source ouvert afin d’y ajouter leurs propres fonctions détournées ». L’objectif du programme malveillant serait d’envoyer les informations d’identification dérobées à un serveur se situant en Allemagne. Ils « ont utilisé une méthode très puissante et discrète » permettant au programme de contourner le pare-feu. Ils utilisent des sites web du nom de domaine russe Naunet qui ne fournit pas les informations concernant le client.

Suite aux annonces de la société Avast à propos du malware, FileZilla a invité les utilisateurs à utiliser son site officiel ou celui de SourceForge pour télécharger les versions officielles du client FTP. Un conseil approuvé par les développeurs d’Avast qui demandent aux utilisateurs du client FTP FileZilla d’effectuer leurs téléchargements sur des sites de confiance.

Source : Blog Avast, FileZilla

Et vous ?

Avez-vous déjà rencontré ce faux FileZilla ?

Qu’en pensez-vous ?

[Traroth2]

Quelle raison aurait-on de ne pas récupérer FileZilla sur le site officiel, déjà ?

[Atem18]

Qu’en pensez-vous ?

J'en pense qu'il n'y a pas besoin du code-source pour coder un clone d'un logiciel et le rendre malveillant.

De plus, avec le code source, il est possible de vérifier si des fonctions malveillantes existent. Avec des logiciels propriétaires, ce n'est pas possible.

Et sinon, si les personnes utilisaient les sites officiels, app store ou dépôts, ce genre de problème n'existeraient pas.

[Shuty]

J'en pense qu'il n'y a pas besoin du code-source pour coder un clone d'un logiciel et le rendre malveillant.

De plus, avec le code source, il est possible de vérifier si des fonctions malveillantes existent. Avec des logiciels propriétaires, ce n'est pas possible.

Et sinon, si les personnes utilisaient les sites officiels, app store ou dépôts, ce genre de problème n'existeraient pas.

Okay, je vais de suite relire toutes les sources de la suite office... Sans déconner, personne (les particuliers) ne relisent les sources code des gros projets comme celui-ci.

DAns le cadre de téléchargement de softs open source, il faut absolument le télécharger sur le site officiel et si possible faire un check md5 du fichier. C'est d'ailleurs pour cela que les hash sont mis à disposition.

[Arnard]

Le md5 sera testé à la rigueur par un dev ou un connaisseur, qui déjà passera par le site officiel. Le particulier va taper download Filezilla, et ce sera au bonheur la chance de tomber sur un lien valide (parfois on se retrouve avec des url softonic en tête de page).

[laerne]

Casse-toi pas la tête, la partie intéressante du message de Atem18 est là*:

J'en pense qu'il n'y a pas besoin du code-source pour coder un clone d'un logiciel et le rendre malveillant.

C'est vrai que je comprends pas ce que l'open-source vient faire là, à par rendre plus facile à cloner le logiciel. L'argument c'est que rendre le logiciel plus facile à cloner est une faille de sécurité, c'est ça ?

[Atem18]

Casse-toi pas la tête, la partie intéressante du message de Atem18 est là*:


C'est vrai que je comprends pas ce que l'open-source vient faire là, à par rendre plus facile à cloner le logiciel. L'argument c'est que rendre le logiciel plus facile à cloner est une faille de sécurité, c'est ça ?

C'est ce que le titre de cet article semble sous-entendre. Mais bon, ce n'est pas la première fois que Developpez.net fait des articles ayant pour vocation de discréditer les logiciels libres.

Ceci étant dit, il existe par exemple, un logiciel chinois nommé Kingsoft Office, qui ressemble comme deux goûtes d'eaux à Microsoft Office. Ces derniers sont tous les deux propriétaires, ce qui n'a pas empêché la copie de l'interface de l'un par l'autre.

[Traroth2]

Okay, je vais de suite relire toutes les sources de la suite office... Sans déconner, personne (les particuliers) ne relisent les sources code des gros projets comme celui-ci.

DAns le cadre de téléchargement de softs open source, il faut absolument le télécharger sur le site officiel et si possible faire un check md5 du fichier. C'est d'ailleurs pour cela que les hash sont mis à disposition.

Pour vérifier la sincérité du source, pas la peine de lire une seule ligne. Un check du hash md5 suffit.

[Uther]

C'est tout sauf une nouvelle menace et l'open-source n'est absolument pas un risque particulier dans ce cas là : ça fait plus de 30 ans que les virus savent transformer automatiquement n'importe quel exécutable en exécutable malveillant et sans avoir besoin du code source.

[Pilru]

Le titre de l'article me semble tendancieux. Car le problème n'est pas que Filezilla soit open-source, mais que certains utilisateurs n'aient pas téléchargé le soft depuis le site officiel.

Le problème c'est l'imprudence des utilisateurs.

[Jarodd]

Oui donc c'est plutôt positif pour l'open source non ? Un programme dont les sources ne sont pas publiques ne peut donc pas contenir de code malveillant ? Et s'il en a, on le découvre probablement plus facilement que sur un programme open source ?

Concernant le conseil d'aller sur Sourceforge, il n'y a pas eu une polémique il y a quelques semaines, car la version d'un programme publié sur SF contenait un spyware (ou une barre à la con qui s'installait avec) ? Mes souvenirs sont flous...

[imikado]

Il faut simplement récupérer les logiciels sur les sites officiels, ce n'est pas une exclusivité de l'opensource

Combien on déjà eu des malwares/addwares en téléchargeant sur le site de telecharger.XX et autre portail de téléchargement d'applications

[Firwen]

C'est tout sauf une nouvelle menace et l'open-source n'est absolument pas un risque particulier dans ce cas là : ça fait plus de 30 ans que les virus savent transformer automatiquement n'importe quel exécutable en exécutable malveillant et sans avoir besoin du code source.

Je rajouterai qu'il n'y a même pas besoin de toucher au binaire.
La méthode de repackager le logiciel dans un "installShield" maison qui vous installera 20 spywares et cochonneries du genre est vieille comme Internet.

Trés en vogue sur la plupart des sites de "Téléchargements" commerciaux.


Mais concernant la news, il semblerait que dvp.com depuis longtemps déjà préfèrent les news à polémiques digne d'un tabloïd bas de gamme au contenu riche et aux analyses interessantes.

[air-dex]

Comme quoi il faut TOUJOURS télécharger un logiciel à partir de son site officiel. Cela limite les risques.

C'est tout sauf une nouvelle menace et l'open-source n'est absolument pas un risque particulier dans ce cas là : ça fait plus de 30 ans que les virus savent transformer automatiquement n'importe quel exécutable en exécutable malveillant et sans avoir besoin du code source.

+1000.

Cependant bien qu'il soit un peu fort, je trouve que le titre et l'article soulèvent une question fort intéressante. Les côtés publiques (liberté d'accès au sources) et collaboratifs de l'open source ne faciliteraient-ils pas l'insertion de code malveillant dans les sources, et donc dans les exécutables, des logiciels open-source ? Ce serait un peu ce que la NSA a fait avec certains protocoles de sécurité : y insérer des failles indétectables (ici du code malveillant indétectable) qui seraient ensuite exploitées à des fins malveillantes.

[Markand]

Les gens ont qu'à arrêter d'aller sur des sites genre telecharger.com. Quand on souhaite installer une application, on va sur le site officiel.

Ou mieux, on utilise son gestionnaire de paquets lorsqu'on est sur un système sûr et sécurisé

[Uther]

En effet, il est tout a fait envisageable qu'un contributeur malicieux essaie d'introduire du code dans un projet open source si les gestionnaires ne sont pas assez vigilant. Mais il faut voir que si open-source signifie que tout le monde peux réutiliser le code, cela ne signifie pas pour autant que les créateurs sont obligés d'accepter toutes les contributions.

- les petits projets ont généralement peu de contributeurs qui se connaissent et se font confiance. La base de code étant petite il n'est pas évident pour un nouveau venu d'introduire discrètement une contribution malicieuse.
- les gros projets ont des système de revue de code qui font que toute contribution est soigneusement analysée par plusieur développeurs de confiance avant d'être intégrée.

[lvr]

Quelle raison aurait-on de ne pas récupérer FileZilla sur le site officiel, déjà ?

Tu fais recherche sur Google Download filezilla et dans les 6 1ers résultats tu trouves ... Soundforge n'arrive qu'après. Heureusement que le site officiel arrive avant. Encore heureux. Mais les sites potentiellement vérolés ne sont pas loin?

[temoanatini]

le problème c'est le fait de se poser la question d'aller sur le site officiel.
Beaucoup de gens entendentparler d'un logiciel, mettent le nom dans Google et vont choisir un des premiers liens (ne serait-ce que pour ne pas scroller).

du coup c'est pas toujours un choix que de ne pas télécharger depuis le site officiel.
Ce sont de bonnes habitudes à répendre autour de nous.

[GTSLASH]

Bien la preuve que l'open source ne veut pas dire 'codes sur'.

Le monde des Bisousnours ce n'exista qu'a la TV

[Lucas8]

D'où l'intérêt de duckduckgo : quand on cherche un logiciel, il met automatiquement en haut de la page le lien vers le site officiel, ce qui évite de se prendre la tête à chercher le vrai site officiel (et non pas un clone pour faire installer n'importe quoi).
Ou alors on passe par le gestionnaire de paquet ou équivalent s'il y en a. C'est globalement plus sécurisé.