Présentation du problème
La distribution OpenMandriva a récemment subi plusieurs perturbations qui nécessitent une transparence totale envers notre communauté. Davide Beatrici, connu pour son travail sur l'application de messagerie instantanée Mumble, a rejoint notre distribution il y a quelque temps. L'équipe n'a eu aucune hésitation à lui faire confiance, étant donné sa réputation. Cependant, Davide n'a pas apporté beaucoup de contributions au système, mais il a proposé de migrer notre infrastructure de référentiel de GitHub à son instance privée, OneDev.
Contexte technique
Davide a effectué une sauvegarde/miroir de plusieurs dizaines de nos référentiels. Certains membres de l'équipe avaient des sentiments mitigés, car nous ne voulions pas placer notre référentiel entre les mains privées d'une seule personne, nous préférant une infrastructure publiquement disponible comme GitHub. Deux autres personnes ont rejoint la distribution avec Davide, ce qui a entraîné des problèmes. L'un d'eux a commencé à se comporter de manière abusive envers certains utilisateurs et membres de la distribution.
Fonctionnement et architecture
Après avoir été attaqué, j'ai décidé de prendre des mesures et j'ai expulsé l'agresseur du chat. Je n'ai pas interdit son accès, mais je l'ai simplement expulsé du chat Matrix pour le canal OpenMandriva-Cooker. Cela a déclenché une cascade d'événements, et Davide, ami de l'agresseur, a quitté la distribution en signe de protestation. J'ai décidé de rompre le lien avec l'infrastructure privée de Davide, ce qui l'a mis en colère et l'a poussé à saboter la distribution en supprimant une partie de notre référentiel sur GitHub.
Implications et limites
Davide a également publié un paquet vide dans le référentiel Cooker, qui a rendu obsolètes tous les paquets Gnome et Cosmic, ce qui aurait pu endommager les systèmes des personnes utilisant Gnome ou Cosmic. Cette attaque a mis en évidence les risques de sécurité liés à la confiance accordée à des individus ayant des privilèges administratifs. Il est essentiel de mettre en place des mesures de sécurité robustes pour prévenir de telles attaques à l'avenir. Le code suivant illustre les conséquences de la suppression du référentiel :
git clone https://github.com/OpenMandrivaAssociation/openmandriva-cooker.git