Les applications que les adeptes de Linux téléchargent sont-elles clean ? Pas plus que les futures versions des logiciels de Microsoft...
SourceForge, le portail des logiciels opensource, a été hacké. Un vilain a réussi à rapatrier les mots de passe des membres de l’équipe du site. Bilan des courses, le site appelle, sur sa page d’accueil, ses membres à changer leurs mots de passe. Le problème est important car SourceForge est un site très spécial. Les développeurs de logiciel libre y publient, pratiquement en temps réel, leurs applications réalisées de manière collaborative. Chacun apporte sa partie du développement et l’application est mise à jour régulièrement (parfois chaque soir). ...videmment, les simples utilisateurs de ces applications les téléchargent à chaque nouvelle version. Dès lors, comment savoir si le pirate n’en a pas profité pour déposer sur le serveur des versions corrompues de logiciels connus ? On assisterait, dans ce cas, à une prolifération de machines corrompues sur le Net...
Ca va mal dans l’Open Source
Ironiquement, le géant du logiciel libre se retrouve dans la même situation que le colosse du logiciel commercial, Microsoft. Il y a quelques mois, celui-ci a subi le même type d’attaque. Selon nos informations, des pirates avaient eu accès aux applications de Microsoft en développement. Après avoir initialement nié l’intrusion, Microsoft avait cherché à minimiser sa portée. Microsoft déteste que l’on copie et revende ses logiciels. Ce qui est naturel. Mais si véritablement, les pirates ont pu télécharger les codes sources de ses applications, il est possible qu’ils jouent aux pirates... et demi. Simplement en distribuant, via des serveurs de téléchargement, des logiciels plombés par des backdoors. Dans les explications fournies aux visiteurs, Sourceforge tente, là encore à la manière d’un Microsoft, de minorer les conséquences du hack. Pourtant, le piratage de ce site a eu des répercussions importantes. En effet, SourceForge ayant un "lien" avec le site de développement du serveur Web Apache (le plus utilisé sur le Net), celui-ci a été compromis. La Apache Software Foundation a été obligée de publier un communiqué expliquant, avec une précision désarmante, la portée réelle de cette histoire. Et elle n’est pas négligeable puisque le pirate aurait eu le temps de remplacer le serveur SSH sur la machine. SSH permet de gérer des connexions sécurisées (cryptées) entre deux ordinateurs. Il a donc pu récupérer les logins/mots de passe des utilisateurs. Tout a été remplacé, les mots de passe recréés et l’intégrité des données et fichiers contrôlée. Paraît-il...