{"id":16706,"date":"2021-04-08T13:38:16","date_gmt":"2021-04-08T13:38:16","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16706"},"modified":"2021-04-08T13:38:16","modified_gmt":"2021-04-08T13:38:16","slug":"php-git-backdor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/php-git-backdor\/16706\/","title":{"rendered":"Tentative de piratage du code source du langage PHP"},"content":{"rendered":"

Des hackers anonymes ont r\u00e9cemment essay\u00e9<\/a> de mener une attaque \u00e0 grande \u00e9chelle contre la cha\u00eene logistique en ins\u00e9rant un code malveillant dans le serveur Git officiel de PHP. Si les d\u00e9veloppeurs n\u2019avaient pas vu \u00e0 temps la porte d\u00e9rob\u00e9e, le code aurait pu finir sur plusieurs serveurs Web et ce serait devenu la plus grande attaque contre la cha\u00eene logistique<\/a> de l\u2019histoire.<\/p>\n

Ce qui s\u2019est pass\u00e9 avec PHP<\/h2>\n

Les programmateurs qui d\u00e9veloppent le langage PHP font des changements dans le code en utilisant un r\u00e9f\u00e9rentiel commun pr\u00e9sent dans le syst\u00e8me de contr\u00f4le de version Git. Apr\u00e8s ces ajouts, le code est soumis \u00e0 une autre r\u00e9vision. Lors d\u2019une v\u00e9rification de routine, un d\u00e9veloppeur a remarqu\u00e9 un ajout suspect plac\u00e9 dans les commentaires en tant que correction d\u2019une faute de frappe et ajout\u00e9 sous le nom de Nikita Popov, un d\u00e9veloppeur PHP actif. Une analyse plus approfondie a r\u00e9v\u00e9l\u00e9 qu\u2019il s\u2019agissait d\u2019une porte d\u00e9rob\u00e9e et que Popov n\u2019\u00e9tait pas l\u2019auteur de ce changement.<\/p>\n

D\u2019autres v\u00e9rifications ont r\u00e9v\u00e9l\u00e9 qu\u2019un autre ajout similaire a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 dans le r\u00e9f\u00e9rentiel mais cette fois sous le nom de Rasmus Lerdorf. Les programmateurs vigilants l\u2019ont remarqu\u00e9 en quelques heures et par cons\u00e9quent, la prochaine mise \u00e0 jour PHP 8.1 (l\u00e9g\u00e8rement avanc\u00e9e \u00e0 la fin de l\u2019ann\u00e9e) n\u2019inclura pas la porte d\u00e9rob\u00e9e.<\/p>\n

Pourquoi ce changement de code est dangereux<\/h2>\n

Une porte d\u00e9rob\u00e9e dans le r\u00e9f\u00e9rentiel peut permettre aux hackers d\u2019ex\u00e9cuter un code malveillant \u00e0 distance sur un serveur Web en utilisant la version compromise de PHP. M\u00eame si PHP n\u2019est plus aussi populaire qu\u2019avant, ce dernier reste le langage de script le plus utilis\u00e9 pour les contenus Web\u00a0: environ 80 % de serveurs Web l\u2019utilisent. Bien que peu d\u2019administrateurs mettent \u00e0 jour leurs outils rapidement, un grand nombre d\u2019entre eux gardent leurs serveurs \u00e0 jour afin de se conformer aux normes de s\u00e9curit\u00e9 internes ou externes. Si la porte d\u00e9rob\u00e9e s\u2019\u00e9tait retrouv\u00e9e dans la nouvelle version de PHP, elle se serait tr\u00e8s certainement r\u00e9pandue sur tous les serveurs Web de nombreuses entreprises.<\/p>\n

Comment les hackers ont plac\u00e9 la porte d\u00e9rob\u00e9e<\/h2>\n

Selon les experts, il s\u2019agit d\u2019une attaque due \u00e0 une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le serveur Git et non un probl\u00e8me de comptes compromis de d\u00e9veloppeurs. En effet, le fait d\u2019attribuer un changement \u00e0 un autre utilisateur est connu depuis tr\u00e8s longtemps, et suite \u00e0 cet incident, l\u2019\u00e9quipe d\u2019assistance de PHP a arr\u00eat\u00e9 d\u2019utiliser le serveur git.php.net et a migr\u00e9 vers un r\u00e9f\u00e9rentiel de code source GitHub<\/a> (qui auparavant n\u2019\u00e9tait qu\u2019un miroir).<\/p>\n

Comment se prot\u00e9ger<\/h2>\n

Les environnements de d\u00e9veloppement<\/a> sont des cibles attrayantes pour les cybercriminels. Une fois qu\u2019ils ont compromis le code du logiciel auquel les clients font confiance, ils peuvent toucher plusieurs publics en m\u00eame temps par le biais d\u2019une attaque contre la cha\u00eene logistique. Des millions d\u2019utilisateurs dans le monde utilisent les projets les plus populaires, et donc les prot\u00e9ger des manigances ext\u00e9rieures est primordial.<\/p>\n