Tech

Le référentiel de code source PHP a été «piraté»! Et maintenant?

Par Julian, le mars 30, 2021 — 2 minutes de lecture
Repositório do código fonte do PHP foi "hackeado"! E agora?

PHP est l’un des langages les plus populaires ciblant le Web. Environ 80% des sites sur Internet sont basés sur ce langage de programmation.

Ce dimanche, le dépôt interne PHP Git a été «attaqué» et deux mises à jour non autorisées ont été effectuées pour insérer une porte dérobée secrète dans le code source.


PHP est l’un des langages de programmation les plus utilisés sur les plates-formes Internet. Selon le site Web w3techs, 79,1% des sites Web ont été développés en PHP. Selon le site Tiobe, PHP est actuellement le huitième langage le plus utilisé au monde.

Selon des informations récentes, l’attaque du référentiel a permis aux pirates d’injecter des modifications dans le référentiel php-src. Rasmus Lerdorf et Nikita Popov (du projet PHP), ont révélé que deux validations avaient été effectuées sur le code et que le serveur officiel git.php.net avait été compromis.

Le référentiel de code source PHP a été "piraté"!  Et maintenant?

Le fait que le serveur avec le code source PHP soit compromis, pourrait permettre aux pirates d’injecter du code malveillant dans les serveurs des victimes.

Craig Young, chercheur en sécurité chez Tripwire, a déclaré que…

Nous avons de la chance que des commits malveillants aient été détectés avant qu’ils n’atteignent les systèmes de production. Si de tels changements n’avaient pas été détectés, le code aurait pu «empoisonner» d’autres référentiels de paquets binaires sur lesquels d’innombrables organisations dépendent et font confiance. Les projets open source qui hébergent leurs référentiels de code peuvent être exposés à un plus grand risque en raison de ce type d’attaque. » Il est important que les validations soient conçues pour le code.

Certains experts estiment qu’il est possible que les attaquants aient voulu être découverts ou qu’ils aient été considérés comme des «chasseurs de bugs» à cause des «messages» qu’ils ont laissés dans le code. Les enquêtes sur ce qui s’est passé se poursuivent, alertant tous ceux qui utilisent ce langage de programmation.

Julian

Julian

Je suis correspondant principal chez WebVZ; le site hebdomadaire consacré à l'avenir des médias, la technologie, la culture (série, film, musique) et jeux-vidéo. J'anime parfois (en plus de mes articles), une série de d'interviews percutantes avec les principaux acteurs de l'industrie des médias et de la technologie.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.