Re: Backdoor Linux: Social ingineering, GIT, xz/liblzma, ssh…

Top Page

Reply to this message
Author: Xavier Belanger
Date:  
To: Frédéric
CC: Guilde
Subject: Re: Backdoor Linux: Social ingineering, GIT, xz/liblzma, sshd
Bonjour,

Frédéric <fma38@???> wrote:

> D'après ce que j'ai compris, le mainteneur officiel a fait un burnout,
> c'est ça ? Et ce gars a repris le flambeau pour tranquillement
> semer sa petite backdoor ?


Pas exactement. Le site du mainteneur officiel (Lasse Collin) fait
référence à un autre document avec plus de détails :

[ https://tukaani.org/xz-backdoor/ ]

[ https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27 ]

Dans la section "People" :

"Lasse regularly has internet breaks and is on one at the moment,
started before this all kicked off."

Donc ce que je comprends, c'est que le mainteneur principal n'est
pas disponible à 100% (vu qu'il est bénévole) et que Jia Tan (qui
à poussé le code infecté) à gagné suffisement de confiance au fil
du temps pour pouvoir ajouter son code et le publier.

Ce qui montre une des limites du dévelopement du logiciel libre :
si un projet ne tient que sur les épaules de peu de personnes,
il est fort probable que si un nouveau volontaire se présente
des responsabilités lui seront données petit à petit.

Ou résumé en une image : [ https://xkcd.com/2347/ ]

Là où les choses sont plus compliquées serait de savoir
le "pourquoi" Jia Tan à fait tout cela. Ma théorie à deux sous
est qu'il est employé par un service gouvernemental ou
une organisation criminelle (il y a une différence :-) et que
tout ceci à été planifié à l'avance.

A+
--
Xavier Belanger