Pour gérer vos consentements :

Linux Mint piraté : c’est la faute à WordPress ?

Voilà plus de 24 heures que le site Internet du projet Linux Mint est hors ligne.

À l’origine de cette distribution Linux qui fait partie des plus populaires derrière Ubuntu et Fedora, le Français Clément Lefebvre a pris la décision de couper provisoirement les serveurs après une attaque informatique repérée dans la journée de samedi.

Petit à petit, la situation s’éclaircit, que ce soit concernant les motivations des assaillants, la faille exploitée ou le nombre de victimes potentielles.

En recoupant les témoignages, dont celui du pirate qui s’est confié à ZDNet.com, on constate que l’offensive a eu lieu en plusieurs temps, avec plusieurs cibles.

Les forums communautaires Linux Mint auraient été visés à au moins deux reprises, dont une première fois fin janvier.

Selon le chercheur en sécurité Yonathan Klinjsma, de la firme néerlandaise Fox-IT, les données aspirées à cette occasion ont été mises en vente sur le darkweb, via la marketplace TheRealDeal, par un utilisateur enregistré sous le pseudo peace_of_mind, pour 0,191 bitcoin, soit un peu moins de 100 euros.

Comme le note Softpedia, quelqu’un en a acheté une copie et l’a postée en intégralité sur les forums Hacker News. Ce qui a permis d’en vérifier l’authenticité.

WordPress au rapport

Au-delà des forums, c’est le domaine linuxmint.com qui a été ciblé.

Le pirate – vraisemblablement seul à agir – a exploité une faille dans le CMS WordPress, sur lequel est construit le site. Il a plus précisément implanté une porte dérobée dans le dossier associé à un thème récemment installé… et que les administrateurs Linux Mint n’avaient peut-être, selon Clément Lefebvre, totalement configuré au niveau des permissions d’accès.

Cette backdoor lui a permis de prendre le contrôle de la page de téléchargement des images disque de Linux Mint. Il a modifié les liens pour les faire pointer vers un serveur FTP situé en Bulgarie (5.104.175.212) et hébergeant des ISO infectées de Linux Mint 17.3 Cinnamon (seule l’édition 64 bits semble avoir été effectivement diffusée).

Difficile, au premier abord, de repérer la supercherie. Non seulement parce que le pirate a pris soin de modifier les empreintes MD5 renseignées sur la page de téléchargement pour les faire correspondre à ses ISO malveillantes, mais aussi parce qu’il n’a ajouté, en tout et pour tout, qu’un fichier : man.cy, dans le répertoire /var/lib/man.

Ce fichier contient le code d’une porte dérobée basée sur la fonction Tsunami. Laquelle se fait passer pour apt-cache et ouvre un canal de communication IRC par lequel elle peut recevoir des commandes distantes, généralement dans le cadre d’attaques DDoS.

Le pirate explique que sa motivation première était de créer un botnet. Sans toutefois exclure d’autres usages. En l’état actuel, il contrôlerait encore « quelques centaines » d’installations de Linux Mint.

Averti le 20 février, Clément Lefebvre était intervenu une première fois pour corriger le tir. Une deuxième attaque l’a convaincu de fermer temporairement les écoutilles. Le pirate est même allé jusqu’à saturer son adresse IP pour l’empêcher de mettre le site hors ligne.

Crédit photo : wk1003mike – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago