Bien embêtés les développeurs de UnrealIRCd en postant la nouvelle sur leur portail et sur le forum le 12 juin : leur code source contenait une porte dérobée depuis … novembre 2009 !
Les versions infectées par ce backdoor (connu sous le nom de Troj/UnIRC-A permettent aux attaquants d’exécuter n’importe quelle commande via l’utilisateur utilisé pour démarrer le démon d’UnrealIRCd.
On peut alors s’interroger sur comment une porte dérobée a pu être présente pendant aussi longtemps sans avoir été découverte, sachant que des techniques simples permettent de s’assurer de l’intégrité d’un code source avant son utilisation. On pourra noter notamment la publication de checksum ou les signatures numériques des fichiers mis à disposition.
Malheureusement, ces techniques n’avaient pas été mises en place par les développeurs d’UnrealIRCd. Il est louable qu’ils aient pris conscience de ce manquement et qu’ils signent désormais leurs archives systématiquement. Ceci doit en théorie permettre à toute personne utilisant un code source ou une archive compilée de vérifier qu’elle est bien intègre et non empoisonnée.
En pratique, bien peu de développeurs ou d’utilisateurs prennent la peine de vérifier ces signatures avant l’utilisation, ce qui leur fait courir un risque important. Pourtant il ne s’agit pas d’une étape longue ou fastidieuse, cela prend au plus quelques minutes le temps de récupérer la clé utilisée pour la signature.
Je ne peux parler malheureusement que de laxisme dans ce cas présent, tant des développeurs d’UnrealIRCd, que des utilisateurs en général. Leur cas n’est malheureusement pas isolé et pourrait se reproduire à l’avenir.
Si vous utilisez régulièrement les codes sources de logiciels, il faut impérativement – s’ils sont fournis – vérifier les signatures et les checksums des tarballs mis à disposition. Faites plus confiance à une signature numérique qu’à un checksum (qui la plupart du temps est hébergé sur le même répertoire, avec les mêmes droits que le tarball, et qui, si l’archive est compromise, il est facile de remplacer le checksum par une version correspondante à l’archive modifiée !)
Il est primordial de se rappeler que Windows n’est pas la seule plateforme vulnérable à des codes malveillants, et que la sécurité des systèmes doit être prise en compte pour toutes les plateformes que l’on utilise, et tous les logiciels que l’on utilise. Linux n’est pas exempt de codes malveillants, cet événement nous le rappelle une fois de plus.
Laurent Gentil's blog 