nerv-project/website
nerv-project/website
9
0
Fork 0
Code Issues 1 Pull requests Releases Wiki Activity

Add: GDPR issue

Browse source
This commit is contained in:
Kujiu 2024-03-30 18:43:04 +01:00
parent 5bca8f9027
commit ec6ee250ab
Signed by: kujiu
GPG key ID: ABBB2CAC6855599F
2 changed files with 70 additions and 0 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

62
source/collectif/registres/announcements/20240330_xz.rst Normal file
View file

@ -0,0 +1,62 @@
.. post:: 2024-03-30 18:45
:category: GDPR
:author: kujiu
:location: BLA
:excerpt: 1
:image: 1
:nocomments:
Incident GDPR - Communication au public
=======================================
Le 29 mars 2024, Andres Freund, un développeur PostgreSQL, a découvert une
porte dérobée dans l'outil de compression sans perte xz. Ce dernier est
utilisé massivement sous Linux pour la gestion des paquets, la compression
des images kernel, etc. Il est un outil indispensable du système
d'exploitation et de son environnement. Par la suite, il est apparu que l'un
des développeurs de xz, Jia Tan, a délibérement saboté xz et mis en place du
code malveillant, selon des techniques perfectionnées. Une porte dérobée
s'active a minima dans les conditions suivantes :
- xz dans les versions 5.6.0 ou 5.6.1 ;
- dans une distribution Linux basée sur Debian ou RedHat ;
- sshd est patché pour utiliser systemd-notify ;
- sshd est situé dans le dossier /usr/sbin.
Même si toutes les conditions ne sont pas remplies, le serveur de
Nerv Project ASBL utilisait la version 5.6.1. D'autres cas d'exécution du
code malicieux peuvent ne pas avoir été découverts aujourd'hui. Dès lors,
et au vu de la criticité de la faille, nous avons considéré notre serveur
comme compromis et nous agissons comme si la porte dérobée avait été
utilisée. Nous n'avons aucune preuve qu'elle l'ait été, mais nous n'avons
pas non plus un moyen fiable pour être certain de l'absence d'intrusion.
Le serveur a été mis à jour le 29 mars 2024 et rebooté peu de temps après
avoir pris connaissance des faits et de leur gravité. La connection SSH
nécessitant des cartes à puce, aucun vol de clé privé SSH permettant
l'administration à distance n'a pu avoir lieu. Cependant, si un accès non
autorisé a eu lieu, les données de tous les services hébergés par
Nerv Project ASBL peuvent être compromis. Nous recommandons à tous nos
usagers de changer leurs mots de passe sur toute notre plateforme.
Cela concerne les données :
- de notre logiciel de gestion (dolibarr) ;
- de notre système de mail (postfix + dovecot + roundcube) ;
- de notre messagerie instantanée (XMPP) ;
- de Mastodon ;
- de Peertube ;
- de la plateforme de podcasting Funkwhale ;
- du lecteur de flux RSS FreshRSS ;
- du gestionnaire de liens Wallabag ;
- du gestionnaire de mots de passe Vaultwarden (le contenu utilisateur est chiffré) ;
- de la forge git (forgejo) ;
- du système de commentaires (isso) ;
- de notre outil de statistiques (fathom, données totalement anonymisées) ;
- de notre outil de cloud (Nextcloud) ;
- des logs systèmes (accès à tous les services dont les sites web et capsules gemini).
Veuillez nous excuser pour la gêne occasionnée. Faites attention à vous, les
données volées peuvent servir à falsifier des identités ou à des
arnaques et escroqueries plus réalistes. Nous restons joignables pour toute
question complémentaire.

8
source/collectif/registres/index.rst
View file

@ -1,6 +1,14 @@
Registres Registres
========= =========
Communiqués
^^^^^^^^^^^
.. toctree::
:maxdepth: 1
announcements/20240330_xz
Comptes-rendus d'Assemblée Générale Comptes-rendus d'Assemblée Générale
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^