Codes malveillants
Un cheval de Troie dans OpenSSH.
Par Jerome Saiz, le 05 août 2002 à 16:35:00.
Fin juillet, un pirate s'introduisait dans le serveur officiel de distribution du logiciel OpenSSH et déposait un cheval de Troie dans les sources du produit. Si tout rentrait dans l'ordre 24 heures plus tard, il est toujours possible que des versions souillées d'OpenSSH soient disponibles sur certains sites miroirs. Si vous avez récemment téléchargé OpenSSH, mieux vaut recommencer...
Entre le 30 et le 31 juillet dernier, le code source d'OpenSSH, disponible sur les sites officiels OpenSSH.com et OpenBSD.org était trojanisé : un Cheval de Troie y avait été glissé par un pirate, après qu'il eut pris le contrôle du serveur FTP commun aux deux sites. Le parasite, une fois compilé, devait lui donner libre accès aux serveurs sur lesquels serait installé le produit.
Grâce à un contrôle d'empreinte régulier, l'équipe des sites détectait cependant rapidement la modification, et remplaçait les sources compromis dès le premier août. Pour ce qui est d'OpenSSH.org, l'affaire est donc réglée.
En revanche, grâce au jeu des nombreux sites miroirs qui reprennent automatiquement le contenu du site officiel, certaines versions souillées peuvent être encore disponibles. Il est donc essentiel pour qui aurait récemment téléchargé OpenSSH 3.2 ou 3.4 de vérifier l'intégrité de son code source, quitte à revenir télécharger une version saine sur le site officiel. Le CERT a publié une alerte indiquant les signatures MD5 valides, afin de contrôler la validité des sources.
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssKraken, le poids-lourd des botnetsUne vulnérabilité PDF pour les BlackBerryAvi Chesla : "La nouvelle vague de bots passe à l'Ajax"
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
