Open source, open faille & open troyen…

Open source ou propriétaires, tous les logiciels sont susceptibles de contenir des failles de sécurité ou des backdoors (c'est-à-dire des failles créées volontairement dans le but de prendre la main sur une application).

Les logiciels open source ont cependant un avantage, au moins psychologique, de poids : leur code étant pas définition accessible, chacun peut théoriquement lire et comprendre le code informatique qu'il utilise, déploie ou intègre dans d'autres logiciels. Cet argument est particulièrement valable pour les logiciels open source qui disposent d'une large communauté très active : le risque qu'une faille passe inaperçu décroit proportionnellement avec le nombre de contributeurs au projet...

Mais le risque n'est pas tout à fait le même lorsque vous faites un "copier/coller" d'un extrait de code sur un site, aussi sérieux soit-il (je pense par exemple au Blog Netapsys ! 😉 ).

Démonstration par l'exemple.

Bardé de bonnes intentions, un membre de l'équipe Netapsys a publié un tutoriel sur l'installation de Mantis.
Très pragmatique, celui-ci décrit pas à pas l'installation du bugtracker, de la base de données au Mantis en lui-même et va même jusqu'à sa sécurisation.

Des portions de fichier de paramétrage y sont également publiées, afin de faciliter la prise en main de l'outil par de nouveaux utilisateurs.
On peut ainsi y retrouver l'extrait suivant du paramétrage de Mantis :

// Configuration des adresses email système
	$g_administrator_email='administrateur@netapsys.fr';
	$g_webmaster_email=$g_administrator_email;
	$g_from_email='no-reply-mantis@netapsys.fr';

Là, vous commencez à me voir venir... 🙂

Eh oui, ce tutoriel bien pratique est référencé par les moteurs de recherche, utilisé par la communauté (c'était le but !), et le "copier/coller" tourne à plein régime.
Aucun problème jusque là, si ce n'est que ce code n'est qu'un exemple et qu'il convient de l'adapter pour chaque installation... faute de quoi les Mantis installés envoient leurs emails depuis une adresse "no-reply-mantis@netapsys.fr"...
Et lorsque les utilisateurs répondent à ces emails (forcément, c'était marqué "no-reply", alors ils s'empressent de répondre), qui les reçoit ?

Bingo, c'est bibi !

Vous me direz, un peu plus ou un peu moins de spam, quel impact en termes de sécurité ?

Imaginez simplement ce que quelqu'un de mal intentionné pourrait faire avec des mails réguliers qui l'informent de bugs et de failles en tout genre, détectés sur tous les logiciels des équipes de développement qui ont utilisé ce tutoriel...
C'est mon cas ! (la réception des mails, pas les mauvaises intentions...)

Moralité : même si c'est un peu plus long, préférez toujours le "comprendre/copier/coller/adapter" au simple "copier/coller" !

Quant à moi, je vais de ce pas modifier le "$g_from_email='no-reply-mantis@netapsys.fr';" en "$g_from_email='no-reply-mantis@votre-domaine';".

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.