pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Un malware planqué depuis des mois dans un logiciel libre

Lundi 14 juin 2010

On avait déjà eu le cas d'un malware planqué dans un économiseur d'écran opensource sous Linux, mais le cas avait été rapidement repéré et corrigé.

Là nous somme dans un cas plus grave: Il semble qu'un hacker se soit introduit - à l'insu de l'auteur du logiciel - dans plusieurs serveurs miroirs du logiciel serveur IRC "Unreal" et ait substitué l'original avec sa copie. La copie contient une backdoor qui permet de faire exécuter n'importe quelle commande au serveur. Et cette faille est présente dans le logiciel depuis novembre 2009.

Certes tout le monde n'installe pas un serveur IRC chez soi (et pas forcément celui-là), mais cela reste très grave.


On comprend mieux l'importance pour les développeurs de signer cryptographiquement les sources et exécutables de leurs logiciels (ce que n'avaient pas fait les auteurs).

C'est d'ailleurs pour cela que la majorité des distributions Linux signent les logiciels dans leurs dépôts: Même si quelqu'un venait à s'introduire et remplacer un fichier, tous les ordinateurs qui téléchargent le fichier détecteraient la modification et refuseraient d'installer le fichier.


Ceci dit, la signature des programmes dans les dépôts n'est pas une arme absolue: Si un développeur voit son login SVN ou Subversion piraté, le résultat sera le même: La backdoor sera implanté dans un logiciel opensource, et ce dernier sera signé cryptographiquement. Malgré tout, les gestionnaires de version comme (SVN, subversion et autres) tracent les modifications apportées et permettent un retour-arrière, ce qui mitige le problème.

Il va falloir être vigilant: Si le monde du logiciel opensource se targue d'avoir une excellente sécurité parce que tout le monde peut voir le code source, cela n'est sans doute vrai que pour les logiciels les plus populaires (par exemple, Firefox est regardé à la loupe par beaucoup de monde, mais je ne suis pas certain que cela soit le cas pour Epiphany, Midori et autres navigateurs).


Sous Windows, beaucoup de logiciels sont également capables de se mettre à jour tout seul (Firefox, Adobe PDF Reader, antivirus...). Mais j'ai bien peur qu'une minorité seulement signent et vérifient les mises à jour. Et c'est dangereux. On se souviendra du cas de shareaza, donc les auteurs avaient perdu le nom de domaine: Une version contenant un cheval de Troie avait été installé sur le domaine officiel: Comme le logiciel téléchargeait les mises à jour sans vérifier la signature cryptographique, tous les utilisateurs s'étaient retrouvés avec une version vérolée.

Et même si les dépôts et sites officiels ne sont pas piratés, il y a toujours le risque de détournements DNS pour faire installer des versions vérolées.

Je n'insisterai jamais assez: Les signatures cryptographiques sont indispensables à la distribution de logiciels.


(Je sais, je sais... ces derniers temps je met beaucoup d'images qui font peur.)


Mise à jour 15 juin 2010: Il semblerait que la version vérolée du serveur IRC se soit frayée un chemin jusqu'aux dépôts officiels de la distribution Gentoo. Ouch. Il faut dire que Gentoo a toujours tendance à avoir les toutes dernières versions des logiciels (au contraire de Debian qui tend à ne prendre que les versions bien stabilisées des logiciels - et donc a souvent du retard sur les versions). Les deux visions ont leurs points faibles.

Voir tous les billets