Ce week-end, le site officiel de Xubuntu, une variante appréciée et légère d'Ubuntu, a été piraté. L'objectif des attaquants ? Remplacer le fichier de téléchargement légitime par un malware destiné aux utilisateurs de... Windows.
Une attaque opportuniste qui visait clairement les nouveaux venus tentés par Linux, notamment suite à la fin du support de Windows 10.
Comment le piratage a-t-il été découvert ?
L'alerte a été donnée sur Reddit par des utilisateurs vigilants. En tentant de télécharger l'image d'installation de Xubuntu via le lien torrent officiel, ils n'ont pas obtenu le fichier attendu, mais une archive ZIP contenant un exécutable suspect. Plusieurs détails ont immédiatement mis la puce à l'oreille des plus aguerris, comme une date de copyright erronée (2026) dans les conditions d'utilisation.
L'enquête a rapidement révélé que le site, basé sur une version vieillissante de WordPress, avait déjà été compromis le mois précédent pour afficher des publicités pour des machines à sous. Cette fois, l'attaque était bien plus pernicieuse.
Quel était le but de ce malware ?
Le fichier malveillant était un "crypto clipper", un type de malware spécialisé dans le vol de cryptomonnaies. Son fonctionnement est aussi simple que redoutable. Une fois installé sur un PC Windows, le programme s'exécute en arrière-plan et surveille le contenu du presse-papiers. S'il détecte une chaîne de caractères ressemblant à une adresse de portefeuille de cryptomonnaie, il la remplace à la volée par l'adresse du pirate.
L'utilisateur, pensant copier-coller sa propre adresse pour une transaction, envoie en réalité ses fonds directement dans les poches de l'attaquant. Heureusement, et c'est la bonne nouvelle de cette histoire, il semblerait qu'aucune victime n'ait pour l'instant signalé de perte financière.
Comment l'équipe de Xubuntu a-t-elle réagi ?
La réaction a été rapide, mais entravée par les moyens limités du projet. Xubuntu, comme beaucoup de variantes d'Ubuntu, est un projet communautaire géré par une petite équipe de bénévoles. L'infrastructure étant gérée par Canonical (la maison mère d'Ubuntu), l'équipe a dû collaborer avec eux pour reprendre le contrôle.
Dans l'immédiat, la page de téléchargement a été désactivée et redirige vers la page d'accueil. Les responsables du projet ont confirmé qu'ils accéléraient leur migration vers un site statique, beaucoup plus sécurisé qu'un WordPress vieillissant. En attendant, les téléchargements sûrs restent possibles via les serveurs miroirs officiels de Canonical.
Foire Aux Questions (FAQ)
Le système d'exploitation Xubuntu lui-même est-il infecté ?
Non, absolument pas. Le piratage n'a affecté que le site web et un seul des liens de téléchargement. Les images ISO officielles de Xubuntu, hébergées sur les serveurs de Canonical, sont saines et n'ont pas été compromises. Le malware ne visait que les utilisateurs de Windows qui auraient téléchargé et exécuté le faux fichier.
Comment télécharger Xubuntu en toute sécurité ?
En attendant que le site officiel soit entièrement restauré, la méthode la plus sûre est de passer directement par le serveur de téléchargement de Canonical à l'adresse "cdimage.ubuntu.com". Il est également fortement recommandé de toujours vérifier la somme de contrôle (checksum) du fichier téléchargé pour s'assurer de son intégrité.
Pourquoi le site n'était-il pas mieux sécurisé ?
Xubuntu est un projet communautaire avec des ressources limitées. Le site tournait sur une ancienne version de WordPress, une plateforme très populaire mais qui nécessite des mises à jour constantes pour rester sécurisée. Le manque de moyens et de temps des bénévoles est probablement à l'origine de ce "dérapage", comme l'a qualifié un des contributeurs.
