vendredi 12 octobre 2007

Les pirates attaquent les logiciels open source pendant leur développement

Le groupe de recherche en sécurité de Fortify Software a découvert des attaques par injection de code en construction (cross-build), qui permettraient à un pirate d’insérer du code dans le programme cible pendant son développement. L’utilisation d’outils de codage open source a ouvert les portes à "des exploits pouvant s’étendre sur l’ensemble du système", estime Fortify.

La recherche a révélé que les pirates pouvaient compromettre la source de base du projet en corrompant le processus de construction et en le remplaçant par une version comportant des composants malveillants, tels que des chevaux de Troie.

Plutôt que d’exploiter les vulnérabilités dans les applications déjà déployées, les pirates peuvent corrompre le processus de développement en introduisant des failles avant même que le logiciel soit achevé. Cette technique a déjà été utilisée dans le passé et les outils de développement les plus récents exposent les entreprises encore davantage à ce type d’attaque."

C'est inquiétant de se dire qu'on peut obtenir des trojans ou des virus en récupérant les nightly build des packages !

Aucun commentaire: