Une vague de paquets malveillants a inondé l’AUR, le dépôt de paquets communautaire d’Arch Linux. Le temps de l’opération de nettoyage, Arch Linux a décidé de suspendre la création de nouveaux comptes sur l’AUR. Voici ce que l’on sait.

Si vous avez tenté d’ouvrir un compte sur l’AUR (Arch User Repository) ces derniers jours, vous avez probablement été accueilli par un message peu accueillant : une erreur 503 Service Unavailable sur la page d’inscription. Ce blocage n’est pas un hasard : c’est une décision temporaire prise par l’équipe d’Arch Linux en réponse à l’incident de sécurité qui affecte l’AUR. Une façon radicale de fermer le robinet, surtout que l’ampleur de l’incident n’a fait que grandir au fil des heures.

L’estimation initiale est finalement en deçà de la réalité : à la base, il était question de 400 paquets affectés par la cyberattaque sur l’AUR. Autant de paquets destinés à délivrer des malwares, notamment des infostealers, sur les machines des utilisateurs. Mais au fil des heures, ce chiffre n’a fait qu’augmenter : il est question d’au moins 1 500 paquets malveillants publiés sur l’AUR.

Depuis plusieurs jours, le nettoyage est en cours afin d’identifier et d’éliminer tous les paquets malveillants. Pourquoi c’est si long, me direz-vous ? En réalité, l’AUR est un dépôt très actif, il suffit de regarder quelques chiffres :

• Plus de 141 000 utilisateurs enregistrés,
• Plus de 107 000 paquets,
• Au moins 270 paquets ajoutés au cours des 7 derniers jours, avec plus de 5 500 paquets mis à jour sur la même période.

Ces chiffres prouvent qu’il y a une activité importante sur ce dépôt communautaire. Surtout, cela montre aussi qu’il joue un rôle clé pour les utilisateurs d’Arch Linux.

Le problème des paquets orphelins

Il y a un autre chiffre à prendre en considération : plus de 13 000 paquets sont orphelins (abandonnés par leur auteur d’origine). Pour éviter que ces paquets soient définitivement abandonnés, l’AUR permet à un nouveau mainteneur de reprendre la main sur un paquet orphelin. L’esprit open source, quoi. Le problème, c’est que les attaquants ont détourné ce système pour pousser des mises à jour malveillantes.

Au fur et à mesure que des contrôles sont effectués, de nouveaux paquets infectés sont découverts. C’est un travail long et chronophage, mais essentiel pour nettoyer l’AUR.

De votre côté, je vous rappelle que vous devez inspecter les fichiers et les scripts d’installation avant d’installer ou de mettre à jour un paquet issu de l’AUR. C’est par cette intermédiaire que les malwares sont diffusés. Surtout, ce qui doit vous mettre la puce à l’oreille, ce sont deux points :

• Un paquet a récemment changé de mainteneur,
• Un paquet plus maintenu a soudainement reçu une mise à jour inattendue.

Suite à cet incident de sécurité, je vois mal comment l’AUR peut continuer de fonctionner sur le même principe. Sinon, cela va obligatoirement se répéter. Les équipes d’Arch Linux évaluent certainement des pistes pour renforcer la sécurité de l’AUR, en particulier pour l’adoption de paquets orphelins.

Enfin, sachez que l’AUR reste en ligne et les paquets accessibles. Seule la création de nouveaux comptes est, pour l’heure, hors service.