Depuis une semaine, un sujet de discussion s’est répandu sur la plupart des sites consacrés à Linux : la sécurité du site http://www.kernel.org/ a été compromise durant la fin août. Ce serveur est le point central de distribution des sources des noyaux Linux.
L’intrus a apparemment obtenu des accréditations SSH par l’intermédiaire d’une machine appartenant à Hans Peter Anvin. Les traces découvertes le 28 août suggèrent que le système SSH et des scripts de démarrage ont été compromis, entre autres. Naturellement les administrateurs ne divulguent pas encore le détail de l’attaque.
Le sujet d’inquiétude principal porte sur les sources des noyaux Linux. L’intrus a-t-il pu insérer dans le code source du noyau une backdoor, rendant faillibles les machines qui utiliseront ce kernel ? Aujourd’hui rien ne permet de l’affirmer, mais rien ne permet non plus d’affirmer à coup sûr le contraire.
La probabilité est très faible en ce qui concerne le dépôt GIT des sources, car chaque fichier est surveillé indépendamment, et le code de hachage d’une version du noyau tient compte de ceux des versions précédentes. N’oublions pas que des centaines de développeurs possèdent un miroir à jour du noyau ce qui rend impossible l’introduction invisible d’une faille de sécurité. Personnellement je n’ai pas vraiment d’inquiétude pour le dépôt GIT des sources en développement, mais plutôt pour les archives .tar.bz2 plus anciennes. Notamment les versions longterm du kernel, qui peuvent être téléchargées automatiquement par des outils de développement embarqué (de type Buildroot par exemple).
L’attaque a eu lieu en utilisant un rootkit connu nommé Phalanx, qui n’a pas été particulièrement adapté pour sa cible. Ceci laisse supposer que les intrus n’avaient pas les compétences techniques pour forcer une somme de contrôle SHA-1 comme on en utilise pour signer les archives du noyau.
Aujourd’hui le serveur kernel.org est inaccessible.
Linus Torvalds utilise pour le moment son compte sur Github pour centraliser le développement. Si vous souhaitez obtenir une copie des sources de Linux, vous devrez utiliser le dépôt suivant :
[tmp]$ git clone https://github.com/torvalds/linux.git linux-3 Cloning into linux-3... remote: Counting objects: 2135359, done. remote: Compressing objects: 100% (336683/336683), done. remote: Total 2135359 (delta 1781604), reused 2132480 (delta 1778804) Receiving objects: 100% (2135359/2135359), 424.17 MiB | 1.10 MiB/s, done. Resolving deltas: 100% (1781604/1781604), done. [tmp]$
Espérons que kernel.org retrouve rapidement son intégrité, et sa disponibilité…
