[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[HS ?] Re: Détails de la compromission des serveurs Debian.org

Salut à tous,

Le Lundi 1 Décembre 2003 12:10, Max Lelubre a écrit :

> J'ai fait la traduction française de la page de Wichert Akkerman
> ( http://www.wiggy.net/debian/explanation/ ) qui récapitule
> l'histoire du problème actuel des serveurs Debian.org :
>   http://castor-server.homelinux.org/debian/

Très bonne initiative, merci ! Même en français, ce qui est arrivé est déjà 
difficilement compréhensible.

Je ferai bien ici un résumé de ce que j'ai compris, en lisant le texte 
original et le tien traduit. Ceci pour deux raisons :

-aider ceux qui veulent comprendre et qui sont plus ou moins débutants
-et sourtout, que ceux qui sont plus doués que moi me corrigent violemment 
quand je dis une connerie

Le ou les pirates disposaient d'un code d'accès à un compte développeur 
(lequel, mystère) sur deux machines (debian en compte trois, dédiés à 
différentes tâches). Ils pouvaient donc ouvrir un shell en utilisateur.
De là, ils ont downloadé et exécuté un exploit, c'est à dire un programme qui 
exploite une faille de sécurité d'un programme déjà installé pour obtenir les 
privilèges root. Personne ne sait quel programme a été détourné. Il semble 
qu'il s'agisse d'une faille non-répertoriée. Le fonctionnement d'un exploit 
est expliqué avec larges détails sur google.

Une fois root, les pirates ont installé un programme "espion" appelé suckit 
(suce-le, d'une élégance),dont l'objectif est de relever les mots de passe 
des utilisateurs et de les renvoyer vers les pirates (à quelle adresse ?).

En étant root sur les deux machines infectées, ils ont réussi à trouver un 
compte utilisateur sur la machine qui leur résistait. Là, ils ont opéré la 
même opération que sur les deux autres.

Les questions sans réponses sont les suivantes :

Quel programme a été "exploité" ?
Qui a fait le coup (quel compte développeur) ?
Quelles sont les altérations des pirates ?
Depuis quand debian est-il compromis ?
Qui est le commanditaire ?

J'ai lu une interview peu concluante d'un responsable de debian (je ne sais 
plus où et qui, mille excuses) qui parlait d'un jeune de 15 ans qui sans 
doute voulait se faire remarquer. Drôlement doué l'ado. Connaître aussi bien 
le système debian,  détecter des failles qui échappent aux responsables 
debian (pas de nains, donc)...

Dans ce genre de cas, j'ai pour habitude de me demander "à qui profite le 
crime" ? Cet événement, s'il est vraiment rendu public, portera un sale coup 
à Linux en général et debian en particulier.  Même si nous savons bien que 
notre système reste l'un des plus sûrs, on imagine la joie de certains 
vendeurs de passoires qui excuseront les défaillances de leur merde en citant 
les problèmes de debian.

Pour finir, ce n'est surtout pas un troll que mon message ! Si j'ai dit une 
bêtise (et ça m'arrive souvent, j'assume), sachez que ce n'est pas de la 
provoc. Je pense que les réponses, s'il y en a, seront profiables à tout le 
monde.

Tom.

P.S. En tout cas, une pensée émue pour tous ceux qui vont passer leurs 
weekends à tenter de comprendre comment éviter que ça se reproduise.
-- 
Thomas Pimmel
email : tom@ringard.org
http : http://www.ringard.org
Reply to: