En mars 2021, une attaque ciblant le dépôt Git officiel de PHP a mis en évidence des vulnérabilités critiques dans la sécurité des projets open source. Les assaillants ont réussi à compromettre le serveur git.php.net, leur permettant d’insérer une porte dérobée (backdoor) dans le code source de PHP. Cette intrusion, si elle n’avait pas été détectée, aurait pu affecter une large portion des sites web mondiaux, PHP étant utilisé par près de 80 % d’entre eux.
Détails de l’attaque
Le 28 mars 2021, deux commits malveillants ont été ajoutés au dépôt php-src, prétendument signés par les développeurs Rasmus Lerdorf et Nikita Popov. Ces commits visaient à introduire une porte dérobée permettant l’exécution de code arbitraire sur les serveurs utilisant la version compromise de PHP. L’attaque a été rapidement détectée, et les modifications malveillantes ont été annulées avant de pouvoir être déployées largement.
Conséquences et mesures prises
Suite à cet incident, l’équipe PHP a décidé de migrer l’ensemble de son infrastructure de gestion de code vers GitHub, abandonnant ainsi son propre serveur Git. Cette décision vise à renforcer la sécurité en s’appuyant sur les mesures de protection avancées offertes par GitHub. De plus, une enquête approfondie a été menée pour déterminer l’origine de la compromission, révélant que la base de données des utilisateurs de PHP avait potentiellement été exposée, ce qui aurait permis aux attaquants d’obtenir les identifiants nécessaires pour effectuer les commits malveillants.
Leçons retenues
Cet incident souligne l’importance ultime de la sécurité dans les chaînes d’approvisionnement logicielle, en particulier pour les projets open source largement utilisés. Il met en évidence la nécessité de surveiller rigoureusement les dépôts de code source et d’adopter des pratiques de sécurité robustes pour prévenir les accès non autorisés et les modifications malveillantes.
Pour plus d’informations détaillées sur cet incident, vous pouvez consulter les articles suivants :
PHP Site’s User Database Was Hacked In Recent Source Code Backdoor Attack