Stun, un hacker utilisant la bannière Anonymous, a publié sur un site de liens BitTorrent et via Twitter le code source d'un noyau du logiciel VMware ESX, un hyperviseur destiné à être installé sur des serveurs, qui permet de lancer plusieurs machines virtuelles en parallèle sur un même système. Dans un message accompagnant le code source, le hacker explique qu'il a choisi de divulguer le code source du noyau, daté de 1998 à 2004, pour obliger VMware a modifié profondément le noyau des nouvelles versions.
En divulguant le code source, Stun permet aux hackers de l'étudier et de découvrir les failles du noyau, qui peuvent être exploitées pour toutes sortes d'attaques. De nombreux services étant hébergés sur des solutions basées sur VMware ESX, les conséquences pourraient être importantes ; même si le noyau a évolué depuis 2004, ses fondamentaux n'ont sans doute pas beaucoup évolué. "Il s'agit du VMKernel entre 1998 et 2004, mais comme nous le savons tous, les noyaux ne changent pas tant que ça dans les programmes, ils sont étendus ou adaptés, mais certaines fonctionnalités au coeur restent les mêmes", s'amuse l'Anonymous.
Sur son blog, VMware a reconnu l'authenticité du code source, en expliquant que sa divulgation est liée à une précédente fuite reconnue en avril 2012. A l'époque, la société de Palo Alto avait expliqué qu'un seul fichier du code source avait été diffusé, mais qu'il était "possible que d'autres fichiers soient publiés à l'avenir". Elle ajoutait que la fuite "ne veulent pas nécessairement dire qu'il y a un risque accru pour les clients de VWware". Quelques jours plus tard, la firme encourageait ses clients à appliquer des patchs de sécurité.
Cette fois encore, VMware dit vouloir enquêter sur les conséquences éventuelles de la fuite, avant de fournir ses recommandations aux clients. A aucun moment la société n'a nié que le code source de 2004 était toujours utilisé, au moins partiellement, dans ses produits vendus aujourd'hui, huit ans plus tard.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !