Incident GDPR - Communication au public¶
Le 29 mars 2024, Andres Freund, un développeur PostgreSQL, a découvert une porte dérobée dans l’outil de compression sans perte xz. Ce dernier est utilisé massivement sous Linux pour la gestion des paquets, la compression des images kernel, etc. Il est un outil indispensable du système d’exploitation et de son environnement. Par la suite, il est apparu que l’un des développeurs de xz, Jia Tan, a délibérement saboté xz et mis en place du code malveillant, selon des techniques perfectionnées. Une porte dérobée s’active a minima dans les conditions suivantes :
xz dans les versions 5.6.0 ou 5.6.1 ;
dans une distribution Linux basée sur Debian ou RedHat ;
sshd est patché pour utiliser systemd-notify ;
sshd est situé dans le dossier /usr/sbin.
Même si toutes les conditions ne sont pas remplies, le serveur de Nerv Project ASBL utilisait la version 5.6.1. D’autres cas d’exécution du code malicieux peuvent ne pas avoir été découverts aujourd’hui. Dès lors, et au vu de la criticité de la faille, nous avons considéré notre serveur comme compromis et nous agissons comme si la porte dérobée avait été utilisée. Nous n’avons aucune preuve qu’elle l’ait été, mais nous n’avons pas non plus un moyen fiable pour être certain de l’absence d’intrusion.
Le serveur a été mis à jour le 29 mars 2024 et rebooté peu de temps après avoir pris connaissance des faits et de leur gravité. La connection SSH nécessitant des cartes à puce, aucun vol de clé privé SSH permettant l’administration à distance n’a pu avoir lieu. Cependant, si un accès non autorisé a eu lieu, les données de tous les services hébergés par Nerv Project ASBL peuvent être compromis. Nous recommandons à tous nos usagers de changer leurs mots de passe sur toute notre plateforme.
Cela concerne les données :
de notre logiciel de gestion (dolibarr) ;
de notre système de mail (postfix + dovecot + roundcube) ;
de notre messagerie instantanée (XMPP) ;
de Mastodon ;
de Peertube ;
de la plateforme de podcasting Funkwhale ;
du lecteur de flux RSS FreshRSS ;
du gestionnaire de liens Wallabag ;
du gestionnaire de mots de passe Vaultwarden (le contenu utilisateur est chiffré) ;
de la forge git (forgejo) ;
du système de commentaires (isso) ;
de notre outil de statistiques (fathom, données totalement anonymisées) ;
de notre outil de cloud (Nextcloud) ;
des logs systèmes (accès à tous les services dont les sites web et capsules gemini).
Veuillez nous excuser pour la gêne occasionnée. Faites attention à vous, les données volées peuvent servir à falsifier des identités ou à des arnaques et escroqueries plus réalistes. Nous restons joignables pour toute question complémentaire.