FreeBSD victime d’une instrusion sur des serveurs de logiciels tiers

Le projet FreeBSD a subi une intrusion sur deux de ces serveurs, découverte tout récemment, qui aurait pu causer des dommages sur le système d’exploitation basé sur Unix. Cette intrusion daterait du 19 Septembre dernier.

Le ou les pirates informatiques ont réussi à compromettre les serveurs qui faisaient partie de l’infrastructure utilisée pour construire des paquets logiciels tiers. Il semblerait, d’après les équipes en charge de la maintenance technique du projet FreeBSD, que les pirates aient eu accès à des serveurs en utilisant des clés SSH d’un développeur travaillant sur FreeBSD. Il ne s’agit donc pas d’une faille ou d’une vulnérabilité dans le système d’exploitation FreeBSD. L’intrusion, détectée pour la première fois, date du 11 Novembre dernier. Les équipes en charge du projet enquêtent actuellement d’abord sur les raisons de cette intrusion, mais surtout vérifient des éventuelles compromissions dans le code source. Les deux serveurs FreeBSD en question ont été mis hors ligne le temps de ces vérifications. Quant aux serveurs hébergeant la base du projet, ils sont restés inviolés (noyau, code source, lignes de commandes, compilateurs… sont intacts).

Comme les paquets de logiciels tiers distribués depuis le 19 Septembre pourraient avoir été altérés, les responsables du projet FreeBSD mettent en garde les utilisateurs qu’il n’y a aucune garantie, quant à l’intégrité des paquets disponibles, pour l’installation entre le 19 Septembre et le 11 Novembre. FreeBSD a l’intention d’adopter des nouveaux services de distribution plus robustes afin d’éviter de tels désagréments à l’avenir.

Ce n’est pas la première fois qu’un projet de logiciel Open Source doit faire face à une intrusion mettant en cause des clés d’authentification SSH. En août 2009, le projet Apache avait été contraint de fermer son site web et ses serveurs miroirs primaires, après avoir découvert que des pirates avaient utilisé une clé SSH associée à un compte de sauvegarde.