Un hacker a failli compromettre l’intégralité de 80 % des sites web !

Internet Cyber Cyber Crime Hacker Security Crime
Crédits : Max Pixel

Un pirate informatique a pu s’introduire dans le code source de PHP afin d’y installer une « backdoor ». Or, cette intrusion a été repérée assez vite, ce qui a permis d’éviter de nombreux dégâts. Il s’avère que le pirate a failli compromettre plus du trois quarts des sites web en toute discrétion.

Un accès frauduleux vite repéré

PHP : Hypertext Preprocessor (ou simplement PHP) est un langage de programmation libre, dont l’utilisation concerne principalement la production de pages web dynamiques via un serveur HTTP. Ce langage a permis de créer un grand nombre de sites web célèbres, comme Facebook et Wikipédia. Dans un communiqué publié le 28 mars 2021, l’équipe en charge de la sécurité de PHP a dévoilé une importante attaque cybernétique.

Selon le document, il est question de deux modifications du code source (commits) déposés sous les noms de Nikita Popov et Rasmus Lerdorf. Ces deux personnes sont des développeurs très actifs de PHP. Si ces modifications prétendaient à l’origine régler un problème de saisie dans le code, celles-ci étaient en réalité des ajouts de code. Le hacker à l’origine de cette manipulation – dont l’identité reste inconnue – avait pour objectif d’installer une « backdoor », autrement dit un accès frauduleux.

PHP logo
Crédits : PHP/Wikipedia

À deux doigts de la catastrophe !

Qu’on se le dise, l’équipe de sécurité de PHP a évité une catastrophe car ce langage est utilisé par près de 80 % de la totalité des sites internet ! Le pirate aurait donc pu en prendre le contrôle. Par ailleurs, les modifications ont été repérées lors d’une révision de routine du code. Rien n’a donc alerté les experts mais heureusement, les modifications ont finalement été annulées. Le fait est que ces mêmes modifications ont fait l’objet d’une approbation mais n’avaient pas été mises en production. Celles-ci se trouvaient sur l’environnement de développement de la version 8.1 de PHP. Or, son déploiement est prévu pour la fin de cette année.

Nous sommes donc passés près d’une « supply chain attack », dont le but est d’insérer des modifications malveillantes dans un logiciel avant même son déploiement. Pour le hacker, il était question de faire valider son code malveillant par l’éditeur du logiciel. Ce même code aurait donc pu se diffuser à tous les clients, et ce de manière tout à fait discrète. Depuis cette affaire, les opérateurs de PHP ont commencé à effectuer des changements afin de se prémunir d’éventuelles futures attaques.

Selon Nikita Popov, le pirate a obtenu les autorisations d’accès sur le serveur Git, que gère l’équipe de PHP elle-même. Heureusement, aucun compte contributeur n’a été compromis. L’équipe a donc décidé de ne plus gérer ce serveur et compte migrer son code vers GitHub, la plus grande plateforme de dépôt de code, par ailleurs gérée par Microsoft. De plus, PHP donnait un certain niveau d’accès à son code source à tout développeur prêt à contribuer de manière régulière. Désormais, il faudra absolument faire partie du groupe PHP pour accéder au dépôt GitHub, mais également activer une double authentification sur son compte.