Pour la deuxième fois en deux mois, un projet Open Source majeur a été compromis. Cette fois-ci, la victime en est le projet WineHQ. Celui-ci gère Wine, une technologie Open Source qui permet aux utilisateurs d'installer et d'exécuter des applications Windows sur Linux, Mac, Solaris et d'autres systèmes d'exploitation.

En début de semaine, WineHQ a ainsi révélé que quelqu'un avait réussi à s'introduire dans l'un de ses systèmes de base de données et avait pu accéder à un outil PHP qui permet la gestion des bases à distance. Dans une note annonçant la faille, Jeremy White, un développeur Wine, a indiqué qu'il ne savait pas comment l'intrus avait réussi à obtenir un accès non autorisé à l'utilitaire phpmyadmin. « Soit il a pu modifier les préférences d'administration, soit il a exploité une vulnérabilité non corrigée de phpmyadmin », écrit Jeremy White, également fondateur et PDG de Codeweavers, une entreprise qui parraine le projet Wine.

WineHQ réinitialise les mots de passe touchés

WineHQ avait « à contrecoeur » décidé de permettre aux développeurs d'applications d'accéder à distance à l'utilitaire PHP, parce que c'est « un outil très pratique que beaucoup de développeurs désiraient utiliser », a-t-il expliqué. « Mais il constitue une cible de choix pour les pirates, et apparemment, tous nos efforts pour le protéger et le corriger n'ont pas été suffisants. » Selon Jeremy White, il ne semble pas y avoir de preuve immédiate de dommages causés aux bases de données, bien qu'il aurait été relativement facile à des hackers malveillants de leur porter atteinte. 

Cependant, les pirates ont réussi à récolter toutes les informations de connexion des utilisateurs de la base de données Wine Application Database (AppDB) et de Bugzilla, le système de suivi des bogues WineHQ. « Cela signifie qu'ils se sont emparés de toutes les adresses mail et de tous les mots de passe des utilisateurs AppDB et Bugzilla, » a t-il déclaré. « Les mots de passe sont stockés sous forme chiffrée, mais avec de l'obstination et suivant la qualité du mot de passe, ceux-ci peuvent être craqués », a ajouté Jeremy White. « C'est, je le crains, une menace sérieuse. Cela signifie notamment que, si une personne utilise les mêmes adresses e-mail et mots de passe pour d'autres systèmes, elle est maintenant vulnérable, et un utilisateur malveillant pourrait se servir de cette information pour accéder à son compte. ». WineHQ est actuellement en train de réinitialiser tous les mots de passe de tous les utilisateurs touchés, a t-il ajouté.

260 000 projets Open Source sur SourceForge

WineHQ est le second projet open source a avoir été compromis par des pirates. Au mois d'août dernier, ceux-ci s'étaient attaqués à Kernel.org, la maison mère, pour ne pas dire le temple, du projet Linux. Ceux-ci avaient réussi à obtenir un accès d'administration à plusieurs serveurs au sein de l'infrastructure kernel.org. Cette violation a eu certaines conséquences, et plusieurs sites Web, dont Linux.com et la LinuxFoundation.org, ont été visés à leur tour en septembre. WineHQ est hébergé par SourceForge, un site de développement logiciel open-source qui héberge plus de 260 000 projets Open Source qui, lui aussi, a été piraté en janvier. Selon certains, l'attaque contre SourceForge a peut-être eu pour objectif de compromettre des projets hébergés sur son site.

On ne sait pas pour l'instant de façon certaine si l'attaque de cette semaine contre WineHQ est liée, d'une manière ou d'une autre, à celle subie par SourceForge. Jeremy White n'a fait aucun commentaire à ce sujet.