Le 28 juin dans la soirée, des individus inconnus ont pris le contrôle d'un compte GitHub de l'organisation Gentoo qui propose la distribution GNU/Linux éponyme (Chromium OS est par exemple basé sur Gentoo). Ils ont retiré tout accès pour les développeurs Gentoo et ont apporté des modifications au contenu présent.
Des pages GitHub ont ainsi été altérées et des fichiers ebuilds remplacés. Ces derniers sont utilisés pour la compilation et l'installation d'une application manuellement. En particulier, du code malveillant susceptible de supprimer les fichiers d'utilisateurs a été intégré dans les distributions du système d'exploitation.
Néanmoins, ce code malveillant n'a pas été en mesure d'être initié. En outre, l'incident n'a pas affecté le code hébergé sur l'infrastructure de Gentoo. " Le dépôt maître ebuild de Gentoo est hébergé sur notre propre infrastructure et GitHub n'est qu'un miroir ", peut-on lire au sujet de cet incident.
https://t.co/Mxtcxki9Ce
Today 28 June at approximately 20:20 UTC unknown individuals have gained control of the Github Gentoo organization, and modified the content of repositories as well as pages there. More see link.— Gentoo Linux (@gentoo) 28 juin 2018
Autrement dit, c'est une copie secondaire du code source principal de Gentoo qui a été affectée. Le dépôt principal de Gentoo n'a pas été touché. Tous les changements dans le dépôt principal étant signés numériquement, ils peuvent être vérifiés. A priori, toutes les signatures sont fiables.
Dans l'heure ayant suivi la découverte de la compromission, la précaution a été de mise en demandant de considérer tout le code hébergé sur GitHub comme compromis. " Toutes les modifications Gentoo sont signées et vous devez vérifier l'intégrité des signatures lorsque vous utilisez git. "
Jusqu'à nouvel avertissement, il a été demandé de ne pas utiliser d'ebuild du miroir GitHub avant le 28 juin à 20h (18h GMT). Des mesures ont été prises concernant le compte compromis et avec la réinitialisation de dépôts.
Ce n'est pas la première fois que l'on entend parler de la compromission d'un compte GitHub. La plateforme de partage de code a récemment été rachetée par Microsoft pour 7,5 milliards de dollars.