80% de l’Internet mondial en péril à cause d’un simple hacker

L’équipe en charge de la sécurité de PHP a observé des modifications suspectes dans son code source, réalisées quelques heures auparavant. Ces commits (terme consacré pour désigner les changements), déposés sous les noms de deux développeurs très actifs (Nikita Popov et Rasmus Lerdorf), servaient prétendument à régler une erreur de saisie dans le code.

Un code vérolé qui aurait pu couter cher à l’internet mondial

Sauf qu’en réalité, il s’agissait d’un ajout de code, réalisé par un hacker pour le moment inconnu. Son objectif : installer une backdoor, c’est-à-dire un accès frauduleux, sur tous les sites utilisateurs de PhP.

Selon une étude de Web Technology Surveys, PHP serait à la base de près de 80% des sites Web. Cela inclut tous les sites WordPress, qui sont construits sur PHP.

On ignore jusqu’à présent qui était l’auteur ou comment il a pu publier les changements. Cependant, on sait que l’acteur malveillant a poussé les modifications sous une «correction de faute de frappe» en amont, essayant apparemment de couvrir leurs traces en affirmant qu’ils apportaient des modifications mineures au code.

Une simple ligne de code et votre logiciel complétement sain devient un malware infecté qui peut détruire votre ordinateur.

Après la détection de cette tentative de hacking, Nikita Popov a indiqué : « nous ne savons pas encore exactement comment cela s’est passé, mais tout porte à croire qu’il s’agit d’une atteinte au serveur git.php.net (plutôt qu’une attaque d’un compte git individuel) ».  Par chance, les failles ont été corrigées avant qu’elles n’aient pu affecter les différents utilisateurs.

Dans leur tentative de piratage, les hackers ont également mentionné Zerodium, une entreprise connue pour pour racheter des vulnérabilités auprès des chercheurs. Chaouki Bekrar, directeur général de l’entreprise, a ensuite posté un tweet dans lequel il qualifie l’acte des pirates de troll : « visiblement, les chercheurs qui ont trouvé ce bug/cet exploit ont essayé de le vendre à beaucoup d’entités, mais personne n’a voulu l’acheter, alors ils l’ont grillé pour le fun ».

Une migration vers GitHub?

Afin de réduire les risques, Nikita Popov a annoncé que le projet PHP allait désormais être hébergé sur Github plutôt que d’utiliser une infrastructure propre (git.php.net) qui serait trop risqué :

À la place, les dépôts sur GitHub qui n’étaient auparavant que des miroirs, deviendront canoniques. Cela signifie que les modifications doivent être poussées vers GitHub plutôt que vers git.php.net, a-t-il déclaré.

À l’heure actuelle, l’enquête sur cette tentative de hacking est toujours en cours, avec une vérification massive des serveurs pour identifier d’autres potentielles failles.