Le serveur git officiel de PHP piraté, un backdoor installé en secret dans le code source |
• 30 Mars 2021 à 13h01 • 35227 vues
Si il est (malheureusement) monnaie courante que des serveurs de téléchargement soient piratés afin d’y introduire une version malveillante et, ainsi, contaminer un maximum de personne. Sauf que, cette fois-ci, il ne s’agit pas d’un repo de distribution de fichiers binaires comme les autres, mais de la forge de code Git de PHP, autrement dit, la modification a touché directement au code source d’un des langages de programmation les plus populaires côté back-end web (avec plus de 78 % des serveurs en 2018), au grand désespoir de certains.
Ainsi, deux commits — modifications atomiques de code pour le gestionnaire de version — ont été envoyés de manière frauduleuse, autorisant de l’exécution de code distant depuis le header HTTP si le champ user agentt (avec deux "t") contient « zerodium » (un nom porté par une boîte américaine qui n’a a priori rien demandé, mais dont le domaine d’expertise est, en effet, la sécurité informatique). Pour cela, l’identité de deux contributeurs cruciaux a été frauduleusement utilisée : Rasmus Lerdorf, le créateur du langage, et Nikita Popov, un employé de la firme JetBrains, contribuant activement au développement de PHP. Les pirates ont tenté de noyer le poisson en nommant leur contribution « Fix Typo » et « Revert: Revert: Fix typo », mais les mécanismes de code review ont détecté rapidement l’anomalie, qui ne s’est pas répercutée sur les releases publiques de PHP. Par mesure de précaution, les développeurs passent tout de même en revue l’historique récent des changements à la recherche d’autres potentielles modifications : on n’est jamais trop prudent.
Selon l’équipe, la vulnérabilité proviendrait du serveur git lui-même, et non d’un seul compte : c’est ainsi que le projet est désormais passé sur une sauvegarde du code sur GitHub seul, avec davantage de restrictions sur les conditions d’accès en écriture au code : authentification à deux facteurs et requête manuelle à l’administrateur afin de faire partie de l’organisation « php ». Comme quoi, bûcher dans le développement web ne rend pas invulnérable, ce qui n’est pas sans rappeler une certaine histoire de cordonnier et de chaussures... (Source : The Hacker News)
