À la dernière minute, il a été possible d’empêcher qu’une porte dérobée soit introduite clandestinement sur de nombreux serveurs Web et PC de développeurs avec le langage de programmation PHP. Les hackers avaient réussi à infiltrer un code malveillant dans les sources officielles.
Pour ceux qui l’ignorent, PHP est un langage de script open source très répandu, souvent utilisé pour le développement Web. Il peut être intégré dans le HTML. Les commits ont été poussés vers le dépôt php-src, offrant ainsi aux hackers une opportunité pour infecter les sites Web qui reprennent le code malveillant en le croyant légitime.
Un avertissement correspondant de l’équipe PHP a été publié le week-end passé. Selon ce dernier, les hackers ont probablement utilisé une vulnérabilité dans le système Git du projet PHP pour ajouter leur propre code source. Pour éviter que les autres développeurs ne s’en aperçoivent, ils ont falsifié l’expéditeur de leurs contributions. À première vue, il semble s’agir de commits du créateur de PHP, Rasmus Lerdorf, ou de Nikita Popov, qui est également membre de l’équipe centrale, qui visent simplement à corriger des erreurs orthographiques mineures.
Les hackers comptaient sur le fait que les autres développeurs impliqués ne regardaient pas de près ce qui était censé être corrigé à cet endroit. Heureusement, cet espoir ne s’est pas réalisé. C’est ainsi que quelqu’un a découvert qu’il existe deux portes dérobées dans le code source de PHP, ce qui aurait pu avoir des conséquences pour des millions d’utilisateurs.
Dans ce cas, il aurait suffi de placer le code malveillant dans PHP pour compromettre progressivement un très grand nombre de serveurs Web. En effet, le code malveillant aurait été installé en même temps que les mises à jour. Les hackers auraient alors pu introduire clandestinement du code supplémentaire sur les serveurs concernés et l’exécuter.
Une vulnérabilité dans Git
L’attaque sur les sources PHP est probablement due à une vulnérabilité dans l’installation de Git elle-même et non à des comptes utilisateurs détournés. En conséquence, l’équipe PHP a décidé d’abandonner son propre système de gestion de code et d’héberger à l’avenir l’ensemble du projet directement sur GitHub.
Les portes dérobées qui ont été introduites ont déjà été complètement supprimées. De plus, les développeurs travaillent actuellement sur les anciennes soumissions de code pour s’assurer qu’aucune autre vulnérabilité n’a été intégrée à PHP.