Bien essayé : un ou plusieurs hackers sont parvenus à intégrer le serveur Git officiel depuis lequel sont construites et distribuées les nouvelles versions de PHP pour tenter d'ajouter une backdoor au langage.
Deux commits malicieux ont ainsi été repérés dimanche dernier par les membres de la communauté participant aux évolutions et améliorations du langage sur le serveur git.php.net.
Ceux-ci ont été poussés vers le répertoire principal (branche master) php-src maintenu par l'équipe depuis le serveur git.php.net, et sur lequel se trouvent les développements de la version 8.1 du langage, dont la sortie est prévue pour la fin de l'année.
Les personnes derrière l'attaque ne manquent pas de culot, puisqu'elles se sont fait passer pour Rasmus Lerdorf, le co-fondateur du langage (rien que ça !), et Nikita Popov (un grand contributeur de PHP), en ajoutant le commentaire nonchalant "fix typo" dans l'espoir de passer inaperçues.
Dans leur tentative de compromettre le langage, les auteurs avaient ajouté à deux endroits dans les sources une faille qui aurait permis à n'importe quel visiteur d'un site d'exécuter le code de son choix via une injection permise si le mot "zerodium" initiait la chaîne de caractères du HTTP header du user agent.
Cette backdoor aurait rendu un nombre colossal de sites web vulnérables à une prise de contrôle totale de la part de personnes mal intentionnées. Rappelons que PHP est à ce jour utilisé par près de 80% des sites web dans le monde (WordPress, qui est le CMS le plus utilisé s'appuie notamment dessus).
Zerodium est une société de sécurité informatique spécialisée dans l'achat de failles zero-day auprès de chercheurs en sécurité et en relation avec des organismes gouvernementaux pour que ceux-ci mettent en place les mesures protectives adéquates. La société a rapidement communiqué afin d'assurer qu'elle n'était en aucun cas liée à cette intervention, supposant que les hackers cherchaient surtout à attirer l'attention avec leur manoeuvre.
À la suite de cette intrusion sur leur infrastructure standalone de Git, l'équipe derrière PHP a pris la décision de migrer l'ensemble du projet sur GitHub. Les personnes souhaitant contribuer au projet PHP doivent désormais faire partie de l'organisation PHP sur GitHub, qui requiert une double authentification pour plus de sécurité.
