Sourceforge est une plateforme d'édition de source et de dépôt pour celles-ci. Cette plateforme s'est faite attaquer avec succès si l'on en croit les communiqués officiels:
Et l'équipe de sourceforge mentionne que leurs admins continuent de travailler sur l'incident et qu'ils communiqueront plus tard sur les impacts et causes de cette attaque. D'ailleurs, j'ai reçu un email ce matin m'enjoignant à changer mon mot de passe sourceforge "and so we are resetting all passwords in the sf.net database -- just in case"
Je ne suis pas très rassuré sur cette histoire. J'ai téléchargé quantité de logiciels sur sourceforge et une compromission de cette plateforme aurait un impact énorme. Et je suis inquiet lorsque je vois cette timeline:
- Le 19 mai 2010 une faille touche le BBcode php.
- Le 31 décembre 2010, l'article Owned and Exposed réussi à écraser la base de données d'Ettercap basée chez sourceforge..
- Un chercheur en sécurité s'interroge sur la manière dont ettercap s'est fait hacker. Il y a quelque temps, il étudiait les logs IRC d'un serveur de C&C d'un botnet. Sourceforge était mentionné comme embarquant une version de logiciel vulnérable à la faille BBCode php... Nous sommes fin décembre 2010.
- le 22 janvier 2011, soit un mois plus tard il constate que la faille est toujours présente. (Note aux "dragons" pour ceux qui comprendront...)
- Le 24 janvier il poste l'info sur la liste full disclosure.
- Le 27 janvier, sourceforge indique qu'ils passent en downtime...
Le mail de ce matin ne fait que confirmer cette sensation désagréable.. On resette tous les mots de passe, il y a eu des "evidence of password sniffing attempts".
J'attends le prochain update de sourceforge pour voir jusqu'à quel point ils ont été touchés. J'ai envoyé quelques mails à certains projets pour demander des avis sur l'état des sources. Wait end See.
Aucun commentaire:
Enregistrer un commentaire