Une récente tentative d’insérer une porte dérobée dans un projet de logiciel open source largement utilisé n’était pas un cas isolé, car d’autres tentatives similaires de manipulation de projets open source viennent d’être découvertes. Le mois dernier, une porte dérobée mystérieuse a été découverte dans la bibliothèque XZ Utils, incluse dans de nombreuses distributions Linux. Des attaquants possédant la connaissance de la faille auraient pu obtenir un accès distant non autorisé aux systèmes Linux utilisant la bibliothèque. Alors qu’il n’est toujours pas clair qui a introduit la porte dérobée, qui a été détectée avant de se propager très loin dans les distributions Linux, il semble qu’il s’agissait d’une tentative sophistiquée d’intégrer une faille sérieuse dans un logiciel utilisé sur des millions de systèmes. Maintenant, la fondation OpenJS, hébergeant des projets JavaScript utilisés sur de nombreux sites web, a identifié ce qu’elle a qualifié de tentative de prise de contrôle similaire « crédible » sur un autre projet – et peut-être sur deux autres. Le Conseil des projets croisés de la fondation OpenJS a déclaré avoir reçu une série de courriels suspects avec des messages similaires, provenant d’expéditeurs avec des noms différents mais des courriels associés à GitHub « en chevauchement ».
Menu
