Le principal référentiel de code Git de PHP, un langage de script exploité sur 79 % des serveurs sur la toile, a été piraté et son code trafiqué.
Deux changements ont été publiés hier, se faisant passer pour des corrections d’erreurs d’orthographe, alors qu’il s’agissait d’établir des portes dérobées pour effectuer facilement de l’exécution de code à distance sur les serveurs web compromis.
Le changement de code fut signé avec le compte du créateur de PHP, Rasmus Lerdorf.
Pourtant, il est quasi certain qu’aucun compte utilisateur n’a été compromis, et que c’est une faille de sécurité sur l’un des serveurs qui aurait permis aux pirates d’effectuer de tels changements.
Par précaution, les mainteneurs de PHP ont décidé de migrer le référentiel officiel sur GitHub, lequel accueillait préalablement un miroir du référentiel officiel : *
« Alors que l’enquête est toujours en cours, nous avons décidé que le maintien de notre propre infrastructure git est un risque de sécurité inutile, et que nous allons mettre fin au serveur git.php.net. »
« Au lieu de cela, les dépôts sur GitHub, qui n’étaient auparavant que des miroirs, deviendront canoniques », a annoncé Nikita Popov.
Tous les changements de code devront donc désormais être effectués sur GitHub.
Ceux qui souhaitent contribuer au projet en code source ouvert devront être ajoutés à l’organisation PHP de GitHub, et devront activer l’authentification à double facteur.
* Traductions: Le Diligent