Cette espace vous permet de voir toutes les Messages réalisées par ce membre. Vous ne pouvez voir que les Messages réalisées dans les espaces auxquels vous avez accès.
Selon un article de Reddit cité par KDE, au moins un utilisateur a vu ses fichiers effacés après avoir installé l'un de ces thèmes Plasma globaux. Après son installation, le thème a supprimé toutes les données personnelles des lecteurs montés à l'aide de « rm -rf », une commande UNIX très dangereuse qui supprime de force et de manière récursive le contenu d'un répertoire (y compris les fichiers et autres dossiers) sans aucun avertissement ni demande de confirmation. Lorsque cette commande est utilisée pour supprimer des fichiers, ils sont définitivement effacés et ne peuvent être récupérés qu'à l'aide d'un logiciel de récupération de données ou restaurés à partir de sauvegardes. Bien que le thème global défectueux ait depuis été supprimé du magasin de KDE, tout autre thème global disponible via le référentiel de plugins officiel de KDE pourrait entraîner une perte de données si les développeurs ne les ont pas minutieusement testés avant de les soumettre.
Un aspect remarquable de cette porte dérobée est la façon dont elle est camouflée et tente de rester cachée…
Comment a-t-elle pu arriver ?
Tout simplement par l'un des développeurs du projet : https://github.com/tukaani-project/xz/commit/cf44e4b7f5dfdbf8c78aef377c10f71e274f63c0.
Les fichiers binaires à la source de l'injection de code ont été camouflés comme des fichiers de tests déjà compressés (mais aucun test pour les utiliser n'a été rédigé…). Et les fichiers de configs fautifs modifiant la compilation de xz ont été inclus dans des tarballs signés par ce dev.
Il s'agit donc d'une opération au long cours, avec l'inclusion des fichiers binaires comme cheval de Troie quelques mois avant le déclenchement effectif de la faille. Ce contributeur est arrivé il y a deux ans, et a pris dans cet intervalle suffisamment d'importance pour devenir le deuxième contributeur du projet, après l'auteur historique du programme. Pendant ces deux ans, il a écrit des commits assez majeurs, dont un certain nombre ont préparé le terrain techniquement pour le déclenchement de la porte dérobée.
Il peut s'agir d'une compromission assez récente du compte, mais au vu de l'historique, et de son insistance pour inclure les dernières versions de xz dans les distributions, il est plus que probable qu'il s'agisse d'un acteur malveillant. Probablement étatique d'ailleurs compte tenu de la sophistication de l'attaque et de son temps long.Il est d'ailleurs assez ironique que son dernier commit soit une modification de la politique de sécurité du projet.
Pour l'instantané 0328, Ring0 a été complètement amorcé (car les vecteurs d'attaque pour xz n'étaient pas entièrement connu, nous avons emprunté la route la plus sûre) et pour 0329, tout Tumbleweed a été reconstruit contre cette nouvelle base ; Attendez-vous à ce que cet instantané apparaisse « grand » (bien que de nombreux packages ne soient pas différents).
Pour l'instantané 0328, Ring0 a été complètement amorcé (car les vecteurs d'attaque pour xz n'étaient pas entièrement connu, nous avons emprunté la route la plus sûre) et pour 0329, tout Tumbleweed a été reconstruit contre cette nouvelle base ; Attendez-vous à ce que cet instantané apparaisse « grand » (bien que de nombreux packages ne soient pas différents).