Un cheval de Troie dans le code de la prochaine version du noyau Linux

Un intrus a introduit un cheval de Troie dans le code de la prochaine version du noyau Linux. La faille, décelée et corrigée en cinq minutes, ne remet pas en cause le modèle de développement collaboratif de Linux. Jeudi 6 novembre, le dispositif de sécurité encadrant le développement de Linux 2.6, prochaine version du noyau, a détecté une modification "illicite" de son code source. Un intrus a réussi à accéder à distance à l'un des serveurs hébergeant le code source du noyau, comme l'a expliqué à notre rédaction américaine Larry McVoy, fondateur de la société BitMover. Cette start-up californienne édite le programme de distribution de code source BitKeeper, utilisé dans le cadre du développement collaboratif du noyau Linux.

L'intrus a simplement ajouté deux lignes de code, qui ont créé une faille de sécurité en élargissant les privilèges d'accès au système, poursuit McVoy. Cette vulnérabilité, de type cheval de Troie, aurait pu être exploitée par une personne malintentionnée afin prendre le contrôle à distance du système. «Cela ne nous a pris que cinq minutes pour trouver la modification et la corriger», explique le responsable.

Une attaque qui ne concerne que la version en développement - La base de donnée infiltrée par l'intrus était la plate-forme Concurrent Versions Systems (CVS), qui permet aux développeurs de mettre à jour leurs travaux en fonction des dernières évolutions de la version bêta de Linux. Ces modifications n'auraient en aucun cas pu faire partie du code final du noyau, assure McVoy. «BitKeeper est plutôt paranoïaque concernant l'intégrité des données, ce qui a permis de détecter le cheval de Troie».
 
Au final, cet épisode ne remet selon lui absolument pas en cause le modèle de développement collaboratif de Linux. «Un cheval de Troie n'est qu'un bug qu'une personne a délibérément introduit dans le système (…) [notre modèle de développement] permet à chacun d'utiliser le code, ce qui permet justement de déceler rapidement les bugs et de les corriger», conclut-il.

Sources : Zdnet / CNET      
 

 Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits