Intrusion dans la maison du noyau Linux

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Intrusion dans la maison du noyau Linux

Publié le 01 septembre 2011 à 16:10 par Jérôme G.

Lire sur mobile

Des pirates se sont rendus coupables d'une intrusion dans Kernel.org et ont compromis plusieurs serveurs.

Au cours du mois d'août, le site Kernel.org a reçu la visite inopportune de pirates informatiques. Ces derniers ont pénétré dans ce qui est connu pour être la " maison " du projet Linux, le lieu principal pour la distribution du code source du noyau.

Cette intrusion a été découverte le 28 août 2011, aboutissant à la compromission de plusieurs serveurs dans l'infrastructure de Kernel.org. L'alerte se veut toutefois rassurante, et a priori les dépôts du code source n'ont pas été touchés.

Les administrateurs du site ont néanmoins constaté que des fichiers en relation avec ssh ont été modifiés ( openssh, openssh-server, openssh-clients ) et exécutés. Un cheval de Troie a été ajouté aux scripts de démarrage de serveurs.

À l'origine, les attaquants auraient obtenu un accès root sur le serveur dénommé Hera, probablement suite à la compromission d'un compte utilisateur. Des investigations sont menées afin de déterminer comment une élévation de privilèges a pu être possible.

Les autorités aux USA et en Europe ont été prévenues, alors que l'infrastructure du site est en cours de réinstallation. Les utilisateurs de Kernel.org vont devoir modifier leurs mots de passe et clés SSH.

Dans la mesure où le système de gestion de versions utilisés par Kernel.org ( Git ) a recours à un hash SHA-1 pour chaque fichier quand il est publié ( chacun des 40 000 fichiers dans le noyau Linux ), Kernel.org explique qu'il n'est pas possible de modifier d'anciennes versions sans en être notifié.

" Ces fichiers et les hashes qui correspondent existent non seulement sur la machine kernel.org et ses miroirs, mais aussi sur les disques durs de chacun des milliers de développeurs du kernel, mainteneurs et autres utilisateurs de Kernel.org. Toute altération d'un fichier dans le dépôt de kernel.org aurait immédiatement été remarquée par chaque développeur. "

Ceux qui obtiennent le code source via Git peuvent donc être quasi sûrs qu'ils n'ont pas reçu un quelconque code malveillant. C'est par contre plus flou pour les téléchargements que l'on peut opérer directement depuis Kernel.org.