From ec6ee250abed1ffe614b6271e5327bb2b40c7278 Mon Sep 17 00:00:00 2001 From: "kujiu (@uberwald)" Date: Sat, 30 Mar 2024 18:43:04 +0100 Subject: [PATCH] Add: GDPR issue --- .../registres/announcements/20240330_xz.rst | 62 +++++++++++++++++++ source/collectif/registres/index.rst | 8 +++ 2 files changed, 70 insertions(+) create mode 100644 source/collectif/registres/announcements/20240330_xz.rst diff --git a/source/collectif/registres/announcements/20240330_xz.rst b/source/collectif/registres/announcements/20240330_xz.rst new file mode 100644 index 0000000..01509c7 --- /dev/null +++ b/source/collectif/registres/announcements/20240330_xz.rst @@ -0,0 +1,62 @@ +.. post:: 2024-03-30 18:45 + :category: GDPR + :author: kujiu + :location: BLA + :excerpt: 1 + :image: 1 + :nocomments: + +Incident GDPR - Communication au public +======================================= + +Le 29 mars 2024, Andres Freund, un développeur PostgreSQL, a découvert une +porte dérobée dans l'outil de compression sans perte xz. Ce dernier est +utilisé massivement sous Linux pour la gestion des paquets, la compression +des images kernel, etc. Il est un outil indispensable du système +d'exploitation et de son environnement. Par la suite, il est apparu que l'un +des développeurs de xz, Jia Tan, a délibérement saboté xz et mis en place du +code malveillant, selon des techniques perfectionnées. Une porte dérobée +s'active a minima dans les conditions suivantes : + +- xz dans les versions 5.6.0 ou 5.6.1 ; +- dans une distribution Linux basée sur Debian ou RedHat ; +- sshd est patché pour utiliser systemd-notify ; +- sshd est situé dans le dossier /usr/sbin. + +Même si toutes les conditions ne sont pas remplies, le serveur de +Nerv Project ASBL utilisait la version 5.6.1. D'autres cas d'exécution du +code malicieux peuvent ne pas avoir été découverts aujourd'hui. Dès lors, +et au vu de la criticité de la faille, nous avons considéré notre serveur +comme compromis et nous agissons comme si la porte dérobée avait été +utilisée. Nous n'avons aucune preuve qu'elle l'ait été, mais nous n'avons +pas non plus un moyen fiable pour être certain de l'absence d'intrusion. + +Le serveur a été mis à jour le 29 mars 2024 et rebooté peu de temps après +avoir pris connaissance des faits et de leur gravité. La connection SSH +nécessitant des cartes à puce, aucun vol de clé privé SSH permettant +l'administration à distance n'a pu avoir lieu. Cependant, si un accès non +autorisé a eu lieu, les données de tous les services hébergés par +Nerv Project ASBL peuvent être compromis. Nous recommandons à tous nos +usagers de changer leurs mots de passe sur toute notre plateforme. + +Cela concerne les données : + +- de notre logiciel de gestion (dolibarr) ; +- de notre système de mail (postfix + dovecot + roundcube) ; +- de notre messagerie instantanée (XMPP) ; +- de Mastodon ; +- de Peertube ; +- de la plateforme de podcasting Funkwhale ; +- du lecteur de flux RSS FreshRSS ; +- du gestionnaire de liens Wallabag ; +- du gestionnaire de mots de passe Vaultwarden (le contenu utilisateur est chiffré) ; +- de la forge git (forgejo) ; +- du système de commentaires (isso) ; +- de notre outil de statistiques (fathom, données totalement anonymisées) ; +- de notre outil de cloud (Nextcloud) ; +- des logs systèmes (accès à tous les services dont les sites web et capsules gemini). + +Veuillez nous excuser pour la gêne occasionnée. Faites attention à vous, les +données volées peuvent servir à falsifier des identités ou à des +arnaques et escroqueries plus réalistes. Nous restons joignables pour toute +question complémentaire. diff --git a/source/collectif/registres/index.rst b/source/collectif/registres/index.rst index 0a96377..dda66af 100644 --- a/source/collectif/registres/index.rst +++ b/source/collectif/registres/index.rst @@ -1,6 +1,14 @@ Registres ========= +Communiqués +^^^^^^^^^^^ + +.. toctree:: + :maxdepth: 1 + + announcements/20240330_xz + Comptes-rendus d'Assemblée Générale ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^