Le site de Linux Mint s’est fait pirater fin février 2016

Annonces urgentes de Linux MINT du 21/02/2016 !

Les serveurs de Linux MINT ont subi des attaques en règle. Certains ont été piratés, la base de données des utilisateurs de ses forums a été volée et des fichiers ISO téléchargeables de la distribution ont été corrompus.

Tout cela s’est passé les 20 et 21/02/2016.

  • Mise à jour : 1/03/2016
    • The Linux Mint Blog : Monthly News – February 2016
      « Nous avons dû travailler très dur, jour et nuit pendant plus d’une semaine sur ce sujet. Nous avons dû apprendre beaucoup aussi, heureusement, nous n’étions pas seuls. Nous avons reçu de l’aide, nous avons acheté de nouvelles ressources, nous avons fait de nouveaux amis et nous avons acquis de l’aide et de l’expertise. Nous avons solutionné le problème… »
  • Mise à jour : 25/02/2016
    • Tous les sites de Linux Mint y compris ses forums sont à nouveau LIVE ou presque !
  • Mise à jour : 23/02/2016
    • Le site de Linux Mint est revenu à la vie en fin de journée, mais ses forums sont toujours hors service.
    • Linux Mint propose une nouvelle version de son système de mise à jour MintUpdate en version 4.9.9.1. Celui-ci intègre Detect TSUNAMI and warn the user! MintUpdate devrait donc être capable de détecter et de prévenir l’utilisateur qu’une version « vérolée » de la distribution est installée, suite au piratage du week-end dernier.

Lire les explications et suivre les recommandations, en anglais, de Clément Lefébvre, Project Leader

  • 21/02/2016 : Beware of hacked ISOs if you downloaded Linux Mint on February 20th!
    « Nous avons été exposés à une intrusion aujourd’hui. Il a été bref et il ne devrait pas affecter de nombreuses personnes, mais si cela vous affecte, il est très important de lire les informations ci-dessus. »
    « Les pirates ont réussi à modifier certaines images ISO de Linux Mint, en y injectant une porte dérobée, et ont réussi à pirater notre site Web pour pointer vers le leur à Sofia en Bulgarie. »
  • 21/02/2016 : All forums users should change their passwords!
    « Il a été confirmé que la base de données des forums a été compromise lors de l’attaque menée contre nous hier et que les assaillants ont acquis une copie de celle-ci. Si vous avez un compte sur forums.linuxmint.com, s’il vous plaît, changer votre mot de passe sur tous les sites sensibles dès que possible. »
    « Par précaution, nous recommandons à tous les utilisateurs des forums Linux Mint de changer leurs mots de passe. Pendant que vous les changez, s’il vous plaît, commencez par votre mot de passe mail et n’utilisez surtout pas le même mot de passe sur différents sites Web. »

La toile relate les mésaventures de Linux MINT

  • 22/02/2016 : Le site de Linux Mint piraté, des données d’utilisateurs dérobées
    C’est l’une des versions les plus utilisées du système d’exploitation Linux, et elle a été victime ce week-end d’un important piratage. Samedi 21 février, les personnes ayant téléchargé le système d’exploitation Linux Mint ont en fait obtenu une version modifiée par un pirate informatique, peut-on lire sur le blog officiel du projet. Il a installé dans le logiciel une « porte dérobée » (backdoor), une faille permettant à un tiers de s’introduire dans le système.
  • 22/02/2016 : Linux Mint : le site officiel piraté, des images ISO infectées
    Le site de la distribution Linux Mint a été piraté à deux reprises dans la journée du 20 février. Une version particulière de la distribution a été infectée avec une porte dérobée et distribuée pendant quelques heures. La situation est revenue depuis à la normale mais le site est toujours hors ligne.
  • 22/02/2016 : Hacker explains how he put « backdoor » in hundreds of Linux Mint downloads
    « Le pirate a dit que sa principale motivation pour l’injection de la porte dérobée dans les images ISO de Linux Mint était de construire un réseau d’ordinateurs zombies. »
    « Il est apparu plus tard que le pirate avait déjà mis en vente les données personnelles des 71.000 utilisateurs des forums Linux Mint sur le marché noir du Web (darknet marketplace). Nous avons également été en mesure de le vérifier. Cette liste est vendu pour environ 0,197 Bitcoin au moment de l’écriture, soit environ 85 $ par téléchargement. »

Les arguments de Linux Mint

Clément Lefébvre, dans un de ses messages, accuse son Système de Gestion de Contenu WordPress d’être le fautif. Je crois que Linux Mint essaie de se dédouaner à très bon compte. Un site sous WordPress, ou un autre SGC, doit être convenablement  configuré et maintenu, incluant les plugins utilisés, par son administrateur et son webmestre. Mint ferait mieux de se remettre en cause et de repenser ses procédures et l’architecture de ses serveurs en ayant la sécurité comme priorité numéro 1. Par exemple, on ne met pas les fichiers ISO d’une distribution dans la même structure que le site lui-même, c’est du basique.

Il faut concéder à Linux Mint que c’est aussi une question de moyens financiers, dont il peut manquer. Mais la sécurité de Linux Mint a été mise à mal par le piratage en règle de son site Web principal, des fichiers ISO de la distribution et de toutes les données personnelles des utilisateurs de ses forums, rien que ça. Alors, Mint doit définitivement et rapidement revoir toutes ses procédures de sécurité et acquérir les compétences en sécurité Web qui lui font défaut. Il en va de sa réputation et de sa survie.

Cette mésaventure de Linux Mint provoque, en autres choses, des débats houleux sur le Net concernant la politique des mises à jour de sécurité de la distribution. Linux Mint est basée sur Ubunu, qui elle-même est basée sur Debian. Ubuntu applique toujours et rapidement les mises à jour de sécurité de Debian. Mais Linux Mint a une autre politique que les communautés du libre interpellent.
Les mises à jour de Linux Mint sont classées de 1 à 5 (du plus important au moins important). Mais par défaut les mises à jour de niveau 4 et 5 ne sont pas cochées alors qu’elles contiennent celles de sécurité héritées d’Ubuntu et de Debian. Cette décision des développeurs de Linux Mint est très fortement critiquée par les spécialistes GNU/Linux comme étant anti-productive car mettant en danger les utilisateurs de cette distribution.
Il est heureusement possible pour l’utilisateur de Linux Mint de changer ce comportement par défaut en ouvrant le Gestionnaire de mises à jour (MintUpdate) -> Menu -> Édition -> Préférences -> Onglets Options et Niveaux -> Cocher les cases correspondantes -> Valider en cliquant sur le bouton Appliquer. Mais cela va à l’encontre de la philosophie de Linux Mint qui considère que les mises à jour de niveau 4 et 5 peuvent être risquées et dangereuses car pouvant affecter la stabilité du système. En cela, elle se démarque totalement d’Ubuntu et de Debian. Le souci pour Linux Mint, c’est qu’elle manque cruellement de moyens pour tester toutes ces mises à jour de sécurité et elle préfère prendre une approche minimaliste au détriment de la sécurité du système.

Avoir une distribution libre et sure, une fois installée, c’est le minimum syndical. Avoir un site sécurisé, des téléchargements images ISO surs et des forums tout aussi sécurisés, c’est vital par les temps qui courent. L’objectif premier du projet Linux Mint doit être la sécurité globale de son offre libre. Le projet Linux Mint devrait aussi en profiter pour donner une place plus importante à la communauté des utilisateurs de sa distribution et lui ouvrir réellement certaines portes du projet, comme cela se pratique dans d’autres communautés du libre, hors ce n’est pas le cas à ce jour.

Ces enfoirés de HACKERS ne vivent pas dans le monde des Bisounours !