Linux Mint piraté : c’est la faute à WordPress ?

Voilà plus de 24 heures que le site Internet du projet Linux Mint est hors ligne.

À l’origine de cette distribution Linux qui fait partie des plus populaires derrière Ubuntu et Fedora, le Français Clément Lefebvre a pris la décision de couper provisoirement les serveurs après une attaque informatique repérée dans la journée de samedi.

Petit à petit, la situation s’éclaircit, que ce soit concernant les motivations des assaillants, la faille exploitée ou le nombre de victimes potentielles.

En recoupant les témoignages, dont celui du pirate qui s’est confié à ZDNet.com, on constate que l’offensive a eu lieu en plusieurs temps, avec plusieurs cibles.

Les forums communautaires Linux Mint auraient été visés à au moins deux reprises, dont une première fois fin janvier.

Selon le chercheur en sécurité Yonathan Klinjsma, de la firme néerlandaise Fox-IT, les données aspirées à cette occasion ont été mises en vente sur le darkweb, via la marketplace TheRealDeal, par un utilisateur enregistré sous le pseudo peace_of_mind, pour 0,191 bitcoin, soit un peu moins de 100 euros.

Comme le note Softpedia, quelqu’un en a acheté une copie et l’a postée en intégralité sur les forums Hacker News. Ce qui a permis d’en vérifier l’authenticité.

WordPress au rapport

Au-delà des forums, c’est le domaine linuxmint.com qui a été ciblé.

Le pirate – vraisemblablement seul à agir – a exploité une faille dans le CMS WordPress, sur lequel est construit le site. Il a plus précisément implanté une porte dérobée dans le dossier associé à un thème récemment installé… et que les administrateurs Linux Mint n’avaient peut-être, selon Clément Lefebvre, totalement configuré au niveau des permissions d’accès.

Cette backdoor lui a permis de prendre le contrôle de la page de téléchargement des images disque de Linux Mint. Il a modifié les liens pour les faire pointer vers un serveur FTP situé en Bulgarie (5.104.175.212) et hébergeant des ISO infectées de Linux Mint 17.3 Cinnamon (seule l’édition 64 bits semble avoir été effectivement diffusée).

Difficile, au premier abord, de repérer la supercherie. Non seulement parce que le pirate a pris soin de modifier les empreintes MD5 renseignées sur la page de téléchargement pour les faire correspondre à ses ISO malveillantes, mais aussi parce qu’il n’a ajouté, en tout et pour tout, qu’un fichier : man.cy, dans le répertoire /var/lib/man.

Ce fichier contient le code d’une porte dérobée basée sur la fonction Tsunami. Laquelle se fait passer pour apt-cache et ouvre un canal de communication IRC par lequel elle peut recevoir des commandes distantes, généralement dans le cadre d’attaques DDoS.

Le pirate explique que sa motivation première était de créer un botnet. Sans toutefois exclure d’autres usages. En l’état actuel, il contrôlerait encore « quelques centaines » d’installations de Linux Mint.

Averti le 20 février, Clément Lefebvre était intervenu une première fois pour corriger le tir. Une deuxième attaque l’a convaincu de fermer temporairement les écoutilles. Le pirate est même allé jusqu’à saturer son adresse IP pour l’empêcher de mettre le site hors ligne.

Crédit photo : wk1003mike – Shutterstock.com

Recent Posts

Digital Workplace : comment l’IA Générative s’installe dans l’environnement de travail

L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…

2 jours ago

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

2 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

4 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

1 mois ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

3 mois ago