Vendredi 7 décembre, vers 0430 UTC, les serveurs de noms faisant autorité pour linux.org (à ne pas confondre avec linuxfr.org) ont été modifiés. Les nouveaux serveurs indiquaient comme adresse IP pour linux.org un serveur Web pirate (208.91.197.27, le serveur Web habituel étant chez Cloudflare, en 104.27.166.219 et 104.27.167.219). Apparemment (je n'ai pas pu le voir), le contenu comprenait diverses insultes contre Linux ("G3T 0WNED L1NUX N3RDZ") et Linus Torvalds, certaines reliées aux nouvelles conditions de participation à Linux.
Le service de « passive DNS » DNSDB nous montre le changement. Alors que les serveurs DNS normaux sont chez Cloudflare, on avait :
;; bailiwick: org.
;; count: 593
;; first seen: 2018-12-07 04:36:31 -0000
;; last seen: 2018-12-07 18:08:20 -0000
linux.org. IN NS ns43.worldnic.com.
linux.org. IN NS ns44.worldnic.com.
;; bailiwick: linux.org.
;; count: 455
;; first seen: 2018-12-07 04:36:31 -0000
;; last seen: 2018-12-08 12:16:25 -0000
linux.org. IN NS ns43.worldnic.com.
linux.org. IN NS ns44.worldnic.com.
D'après un message sur le forum de linux.org, le compte au bureau d'enregistrement (Network Solutions, connu pour ses pratiques et sa mauvaise sécurité) a été piraté quelques heures avant le changement de serveurs DNS, apparemment via un rappel de mot de passe envoyé à une adresse Yahoo qui était elle-même piratée.
C'est l'occasion de rappeler que de sécuriser le site Web ne sert à rien si on ne sécurise pas aussi le DNS qui y mène ! C'est d'autant plus important que, dans beaucoup d'organisations, le serveur Web est blindé et le compte au BE et à l'hébergeur DNS sont ouverts à tout vent (genre post-it sur un mur).
# La page en question
Posté par niX (site web personnel) . Évalué à 10.
Les insultes étaient accompagnées d'un goatse du plus mauvais goût, et le tout a été immortalisé par l'Internet Archive: https://web.archive.org/web/20181206234631/https://www.linux.org/ (attention contenu très très NSFW)
[^] # Re: La page en question
Posté par Guillaume Denry (site web personnel) . Évalué à 10.
Pourtant il est soft ce goatse, par rapport à l'original…
[^] # Re: La page en question
Posté par Obsidian . Évalué à 7. Dernière modification le 10 décembre 2018 à 01:30.
Je dirais même que ça manque d'audace ! :-)
# web piraté par le DNS lui meme piraté par le web
Posté par jyb . Évalué à 1.
Finalement c'est le bureau d'enregistrement DNS Network Solutions qui a ete piraté et par le web :(
[^] # Re: web piraté par le DNS lui meme piraté par le web
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 5.
Référence ?
[^] # Re: web piraté par le DNS lui meme piraté par le web
Posté par Faya . Évalué à 7.
Anti-référence : Ils ont simplement utilisé le compte NetworkSolutions d'un admin du site pour changer le pointage des DNS
https://www.reddit.com/r/linux/comments/a3vy3n/linuxorg_goings_on/
# Autres documentations, et solutions
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 6.
J'avais oublié quelques trucs intéressants. D'abord, beaucoup de registres de noms de domaine ont une solution nommée « verrouillage » (ou « lock » en anglais) qui permet d'empêcher toute modification d'un domaine (l'éventuel déverrouillage nécessitant une opération manuelle, avec vérification). Cela coûte de l'argent, mais cela aurait sans doute protégé linux.org.
Ensuite, l'AFNIC aussi a une documentation sur la sécurité de vos noms de domaine.
[^] # Re: Autres documentations, et solutions
Posté par Krunch (site web personnel) . Évalué à 2.
Si on fait tout en TLS+HSTS avec de l'épinglage de clef publique (public key pinning) ça mitige déjà bien comme même. C'est évidemment pas incontournable non plus.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Autres documentations, et solutions
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
L'épinglage de clé publique ? Ya encore des gens qui utilisent ça ? C'est très casse-gueule, surtout avec Let's Encrypt.
Quant à TLS+HSTS, oui, les navigateurs vérifient mais les apps et autres logiciels ne le font pas forcément.
# Commentaire supprimé
Posté par masonjava . Évalué à -1. Dernière modification le 21 décembre 2018 à 10:14.
Ce commentaire a été supprimé par l’équipe de modération.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.