Ce commence à devenir une habitude : après Linux Debian, un serveur du GNU Project et plusieurs applications Open Source (OpenSSH, Sendmail…), c’est au tour d’une autre distribution de Linux de recevoir la visite de pirates. Il s’agit cette fois de Gentoo Linux, une distribution réputée pour sa simplicité d’installation (elle peut démarrer directement depuis son CD-ROM sans rien installer sur le disque dur !) et son aptitude à reconnaître du premier coup une grande variété de périphériques récents. L’un des serveurs utilisé dans la synchronisation du code source de Gentoo Linux a été compromis en début de semaine. Le pirate a de tout évidence exploité pour cela une combinaison de deux failles : l’une désormais connue, située dans le noyau de Linux et déjà utilisée dans l’attaque des serveurs Debian, et une seconde encore inconnue à l’époque, située dans rsync, un outil libre chargé d’assurer la cohérence entre le contenu de deux machines. La conjonction de ces deux vulnérabilités a permis au pirate de prendre le contrôle du serveur à distance et d’y installer un rootkit. Mais la machine compromise était équipée d’un système de détection d’intrusion et de contrôle d’intégrité : les deux chiens de garde ont donné l’alerte moins d’une heure après la brèche. Le serveur a alors été isolé du parc de mise à jour du code source de Linux Gentoo, tandis que des équipes d’horizons très divers (dont l’équipe Gentoo et la X-Force de l’éditeur ISS) auscultaient le contenu. Aujourd’hui, le serveur n’est toujours pas revenu en ligne, mais l’équipe de Gentoo estime qu’aucun code source n’a été compromis (l’analyse se poursuit). En outre, le serveur ne faisait pas partie du coeur de l’infrastructure de Gentoo, mais avait été offert par un sponsor. Il héberge aussi d’autres services.

En arrivant après plusieurs affaires similaires, cette intrusion pourrait jeter le discrédit sur les réalisations Open Source… si elle n’illustrait pas aussi la grande réactivité des développeurs libres : une version corrigée de rsync (la 2.5.7) était disponible 48 heures après l’incident. Enfin, même si le pirate avait modifié le code source, la granularité des architectures de développement Open Source aurait joué contre lui : il lui aurait fallu faire de même sur une multitude d’autres serveurs de synchronisation pour avoir une chance que sa modification ne soit pas détectée. Mais il reste toutefois que la tendance semble en marche : les logiciels Libres gagnent en maturité, en parts de marché et en déploiement critiques au sein des entreprises, et donc l’intérêt que leur porte les pirates s’accroît d’autant. C’est le revers de la médaille du succès… Il ne reste qu’à espérer que ces incidents viennent renforcer la qualité des logiciels libres, plutôt que miner leur crédibilité.