Pour télécharger les sources du noyau Linux il faut aller sur kernel.org. C'est là que sont rassemblés les archives des différentes versions et c'est là que se trouvent les différentes branches git de nombreux développeurs.
Les responsables du site viennent d'annoncer (voir la partie news en bas de la page) que le serveur Hera avait été compromis, et ce au moins depuis le 28 août. Le pirate a modifié les binaires SSH du système et il a ajouté un cheval de Troie dans les scripts de démarrage.
Bien évidemment les administrateurs ont immédiatement isolé la machine et sont en train de tout passer au peigne fin pour comprendre l'origine de la compromission et pour évaluer les dégâts. Il faudra au minimum que les centaines de développeurs utilisant directement kernel.org changent leur clé SSH et que les tarballs disponibles soient régénérés (puisqu'elles ont été signées avec une clé présente sur le serveur compromis).
En revanche il n'y a, à priori, pas d'inquiétude à avoir en ce qui concerne les sources du noyau. La conception même de git, avec les sommes de hachage SHA-1 calculées pour chaque commit et chaque fichier source, empêche d'implanter une backdoor. Celui qui tenterait cela serait immédiatement détecté puisque les centaines de développeurs du noyau qui ont une copie git des sources recevraient alors une alerte au premier commit.
Jonathan Corbet, éditeur du site LWN, a rapidement publié un article sur le site linux.com pour expliquer ce fait et pour couper court aux articles catastrophistes que les journalistes n'allaient pas manquer de publier.
L'état de la presse étant ce qu'il est, nous savons tous que cet article de Jonathan n'empêchera pas les gens de dire n'importe quoi….
