Des pirates ont réussi à s'introduire dans des serveurs du projet Open Source FreeBSD. L'intrusion sur les serveurs a été détectée le 11 novembre dernier. L'équipe de sécurité FreeBSD a déclaré « les machines concernées ont été débranchées pour analyse. De plus, une grande partie de l'infrastructure restante a également été mise hors ligne par mesure de précaution ». Les deux serveurs agissaient comme des noeuds pour la construction des packages logiciels des éditeurs tiers. L'incident n'a affecté que certains paquets de logiciels tiers distribués par le projet et non les composants du système d'exploitation tels que le noyau, les librairies systèmes, le compilateur ou les outils de ligne de commande.

Une clé SSH volée


Pour l'équipe de sécurité, les pirates ont eu accès aux serveurs à l'aide d'une clé d'authentification SSH volé à un développeur. Ils n'ont pas exploité une faille dans l'OS, rappelle les responsables. Ils précisent n'avoir trouvé aucune preuve que les logiciels tiers ont été modifiés par les pirates. Cependant, ils ajoutent, « nous ne pouvons malheureusement pas garantir l'intégrité des tous les packages disponibles installés entre le 19 septembre et le 11 novembre 2012, ou des ports compilés depuis des arborescences obtenus par un autre moyen que svn.freebsd.org ou un de ses mirroirs. Aujourd'hui, nous n'avons pas remarqué d'altération, mais nous recommandons la réinstallation complète des logiciels ». À la suite de l'incident, le projet FreeBSD prévoit d'accélérer son processus de mises à jour des arborescences de sources, comme ceux basés sur CVSup, en faveur du système Subversion plus robuste.

Un maillon faible de la sécurité

Ce n'est pas la première fois qu'un projet de logiciel Open Source doit faire face à une intrusion mettant en cause des clés d'authentification SSH. En août 2009, le projet Apache avait été contraint de fermer son site web et les serveurs miroirs primaires après avoir découvert que des pirates avaient utilisé une clé SSH associée à un compte de sauvegarde. Pour Paul Ducklin, responsable technique pour la zone Asie-Pacifique chez Sophos « cet incident est un important rappel qu'une chaîne peut être forte, mais que les maillons peuvent être faibles. Ainsi, la sécurité des systèmes internes n'est peut-être pas meilleure que celle des équipements externes auxquels vous pouvez accéder à distance, serveurs, PC portables ou terminaux mobiles ».