OpenMandriva Linux says contributor tried to sabotage the project

1 minute de lecture

Mis à jour :

Tentative de sabotage interne au sein du projet OpenMandriva Linux

Le projet OpenMandriva Linux a été la cible d’une tentative de sabotage interne orchestrée par un contributeur ayant des privilèges d’administration. À la suite de tensions communautaires, cet individu a supprimé des dépôts GitHub et publié un paquet vide dans la branche de développement « Cooker », rendant obsolètes les environnements de bureau GNOME et Cosmic. Bien que le contributeur en question conteste la volonté de nuire, l’équipe du projet considère ces actions comme une atteinte grave à l’intégrité de la distribution.

Points clés :

  • Origine de l’incident : Un conflit interne lié aux choix technologiques et de gestion du projet a conduit un contributeur (Davide Beatrici) à agir unilatéralement.
  • Actions entreprises : Suppression de dépôts de développement cumulés sur près de dix ans et déploiement de paquets visant à désactiver des environnements de bureau.
  • Impact : La stabilité du système a été menacée, nécessitant une restauration complète des données et un audit de sécurité pour identifier d’éventuelles modifications malveillantes résiduelles.
  • Vulnérabilités : L’incident souligne une vulnérabilité liée à la gestion des accès privilégiés (« Insider Threat ») et à la confiance excessive accordée à des contributeurs tiers hébergeant des miroirs de repositories sur des instances privées.

CVE : Aucune CVE n’est associée à cet événement, car il s’agit d’un incident de sécurité humaine et de contrôle d’accès plutôt que d’une faille logicielle exploitable publiquement.

Recommandations :

  • Gestion stricte des privilèges : Appliquer le principe du moindre privilège pour tout contributeur ayant accès aux infrastructures critiques.
  • Audit des accès : Révoquer systématiquement les accès administratifs des contributeurs quittant le projet ou impliqués dans des conflits de gouvernance.
  • Renforcement du contrôle des versions : Mettre en place des mécanismes de validation multi-utilisateurs (« code review » obligatoire) pour tout changement critique sur les branches de production ou de développement.
  • Sauvegardes indépendantes : S’assurer que les sauvegardes des dépôts de code restent sous le contrôle exclusif de l’organisation et ne dépendent pas uniquement d’infrastructures tierces ou privées.

Source