[Linux] Le site de « Linux Mint » piraté

Ce n’est vraiment pas la semaine pour les amateurs de distributions Linux. Le site de Linux Mint vient d’être piraté (le 20 Février dernier), avec comme but de remplacer le dernier ISO de la distribution. Évidemment remplacé par un ISO compromis contenant des portes dérobées. Ce qui veut dire que cette version vous exposera à des soucis de sécurité. Pour faire simple, c’est comme si vous aviez acheté une nouvelle porte pour votre maison, mais qu’il serait impossible pour vous de la fermer à clé.

Linux-mint-art1

Logo officiel de Linux Mint


Pourquoi s’attaquer à cette distribution?

C’est un hacker ou groupe de hackers inconnu(s) qui s’est attaqué au site de la distribution pour pouvoir remplacer les ISO originaux par les leurs. La distribution touchée par ce hack est la suivante : Linux Mint 17.3 Cinnamon Edition.

Qui est concerné ?

Toutes les personnes ayant téléchargé la version citée plus haut, et l’ayant fait après samedi dernier. Tous les utilisateurs ayant téléchargé une autre version ou l’ayant fait avant samedi n’auront aucun problème.

Comment est-ce arrivé ?

Les pirates se sont attaqué au blog sous WordPress de la distribution pour ensuite récupérer un accès à www-data. De là, les pirates ont pu mettre en place un service FTP alternatif dont l’IP bulgare est la suivante : 5.104.175.212.

L’OS infecté est composé d’une brèche s’appelant Tsunami, qui offrira des accès à d’éventuels pirates via un IRC. Tsunami est un cheval de Troie bien connu, un bot IRC simple d’utilisation pour mettre en place des dénis de services (DDoS). L’équipe de Linux Mint s’est rapidement rendu compte de ce hack. Après avoir nettoyé les liens, fait une annonce officielle sur leur blog, les pirates s’en sont pris au site une seconde fois.

À la suite de cette seconde attaque, l’équipe a préféré placer leur service en mode hors ligne, de façon à régler complétement le problème. En effet lors du premier nettoyage, la faille d’entrée des hackers n’avait pas été bouchée. Il ne sera remis en ligne que lorsque tout sera revenu à la normale.

Aucune information n’est disponible sur les motivations des pirates. Ah si, peut-être la vente de la bases de données de la distribution et de son site pour la modique somme de 85 $. Ils croient vraiment que quelqu’un va leur acheter ça ? Cela en dit long sur le professionnalisme de cette équipe de hackers. Il faut savoir aussi que ce bot Tsunami est considéré comme dépassé et peu efficace puisqu’il est connu depuis 2010.

Que faire ?

  • Déconnectez votre ordinateur d’un quelconque réseau ;
  • Faites une copie de vos données importantes ;
  • Formatez votre ordinateur et réinstallez un OS clean (propre) ;
  • Si vous souhaitez utiliser la même distribution, n’hésitez pas à vérifier la signature MD5 de votre ISO.

Vous pourrez retrouver de nombreuses informations complémentaires sur le blog officiel de Linux Mint.