Un moyen éventuel pour véroler Linux

Pause Café
#1

Bonsoir,
Je réfléchissais dans ma p’tite tête à une façon de répandre un virus et d’infecter des systèmes Linux (notez que bien sûr je n’ai pas les capacités ni l’envie de le faire ^^)
Comme infecter un système Linux au moyen d’un virus traditionnel comme cela se fait avec Windows est quasiment impossible du fait de la protection des fichiers système au moyen du mode administrateur qui empêche l’installation en “sous-marin” d’un fichier malveillant, le moyen serait donc de le faire avec “l’accord” de l’administrateur dudit système. En le trompant en somme…
Mais de quelle façon? En bien en lui faisant croire que ce qu’il installe sur son système est une mise à jour…
N’y aurait-il pas moyen pour quelqu’un de mal intentionné de “pirater” un dépôt de mises à jours et d’y insérer un fichier vérolé portant les caractéristiques trompeuses d’une mise à jour?
Ainsi ce “virus” apparaitrait dans la liste quotidienne des “upgrades” comme étant un correctif à un programme comme Gnome ou KDE (pour toucher le maximum d’utilisateurs), et les administrateurs faisant confiance aux contenus des dépôts et des mises à jours disponibles n’y verraient que du feu.
Le plus dur pour le “pirate” serait de trouver un moyen d’accéder au contenu d’un dépôt…

Vos avis? :confused:

#2

En effet, pour infecter un système linux, la première chose qui me passe par la tête c’est d’ajouter quelques lignes de codes à des programmes disponibles sur le net en piratant les dépôts. Je fais confiance aux packages Debian avec le système apt et les clefs.

Quand j’ai besoin d’un soft non disponible dans les dépôts Debian, je fais attention de vérifier leur somme MD5 et la signature du paquet avec une clef publique/privé afin de garantir l’intégrité des sources. Ainsi, il peut obtenir des informations privées présentes sur ton système, ou se servir de ta machine pour attaquer d’autre machines pour des attaques à plus grande échelles. Après tu as les petits scripts que tu trouves sur le net : soit tu fais confiance soit tu examines le code.

C’est ce que j’en dirais.

#3

T’es pas fou de donner des idées pareilles. :astonished:

#4

tiens je me demandais…
est ce que ce serait pas plutot de l’empoisonement / du sabotage, plutot qu’un virus…

meme une fois la machine infectée, il lui est toujours difficile de se propager aux linux qui n’ont pas contracté la faiblesse, puisque la protection root se manifeste pour chaque entité linux.

cela reviendrait à une faille de sécurité, linux me parait faillible à l’étude de son code pour y determiner ses faiblesses certes. mais son ouverture lui permet une réponse immunitaire rapide, une fois le symptome connu.

une fois apparues ces menaces là, les depots auront tot fait de s’en prémunir. chaque dépot fait d’ailleurs reposer encore leur sécurité sur des root differents…

je dis pas que ça arrivera pas… mais ça devrait etre facile à enterer un fois découvert.

c’est pas clair à mon esprit la menace… mais bon je suis amateur en la matière.

#5

Pour debian, c’est “impossible”, étant donné que les paquets sont signés. La signature est vérifiée par rapport à la clef publique dont tu dispose déja dans ton système.

2 possibilité pour “violer” le système:

  • Vol de la clef privée chez debian
  • Que le cd que tu as utilisé, ainsi que le dépot que tu as utilisé pour installer/mettre à jour ton système ai été signé par quelqu’un qui n’est PAS debian.
#6

je crois que c’est arrivé ca une fois : le vol de clé privée
il y a meme eu une machine compromise

ou alors c’est une autre distro
ou alors, ahhh, c’est mon serveur!

#7

[quote=“ed”]Pour debian, c’est “impossible”, étant donné que les paquets sont signés. (…)[/quote]C’est inexact: je n’ai plus en tête le lieu du problême, mais dans le code source du noyau, un des développeurs avait introduit une possibilité d’exploit facile à utiliser pour lui, et la faille ne tenait qu’à un caractère de différence avec son correctif.
Une backdoor d’origine tout ce qu’il y a de plus officielle est toujours possible.

Sinon, le boulot des développeurs debian est moins bien protègé que les dépots, et ça peut être plus simple pour un pirate d’embarquer discretement son code à la source avant la signature par le développeur.

#8

C’était même assez bête vu que c’était un = à rajouter (si c’est bien ce que je pense).

Il reste les failles des logiciels en eux même. Une faille dans un programme avec le suid root positionné et hop on est piégé.