Ubuntu, la distribution Linux la plus populaire, a retiré sa version Desktop 23.10 après que ses traductions ukrainiennes aient été découvertes comme contenant des discours de haine.

Selon le projet Ubuntu, un contributeur malveillant est à l’origine d’insultes antisémites, homophobes et xénophobes qui ont été injectées dans la distribution via un « outil tiers » qui vit en dehors des archives Ubuntu.

Traductions ukrainiennes mêlées de ficelles « insultantes »

Cette semaine, Ubuntu a supprimé son programme d’installation de bureau 23.10 après avoir repéré des chaînes insultantes enfouies dans sa version ukrainienne.

« Nous avons identifié des propos haineux de la part d’un contributeur malveillant dans certaines de nos traductions soumises dans le cadre d’un outil tiers en dehors des archives Ubuntu. » annoncé le projet.

« L’image Ubuntu 23.10 a été supprimée et une nouvelle version sera disponible une fois les traductions correctes restaurées. »

Sur son forum communautaire, l’équipe Ubuntu continue expliqué que des traductions ukrainiennes malveillantes ont été soumises par un contributeur de la communauté à un « service public en ligne tiers » sur lequel s’appuie le programme d’installation du bureau Ubuntu pour fournir une prise en charge linguistique.

« Environ trois heures après la sortie d’Ubuntu 23.10, ce fait a été porté à notre attention et nous avons immédiatement supprimé les images concernées.

Après avoir effectué le tri initial, nous pensons que l’incident n’affecte que les traductions présentées à un utilisateur lors de l’installation via l’environnement Live CD (pas une mise à niveau). Lors de l’installation, les traductions résident uniquement en mémoire et ne sont pas propagées sur le disque. Si vous avez effectué une mise à niveau vers Ubuntu Desktop 23.10 à partir d’une version précédente, vous n’êtes pas concerné par ce problème.

Les images concernées étaient Ubuntu Desktop 23.10 et Ubuntu Budgie 23.10.

L’ISO Ubuntu Desktop Legacy est toujours disponible et n’est pas affecté.

N’oubliez pas que les traductions sont des fichiers de données qui prennent en charge l’internationalisation des applications. Ces fichiers sont mis à jour avec le soutien de systèmes en ligne tiers avec des contributions de personnes du monde entier qui sont ensuite intégrées à Ubuntu. Il est regrettable que cette voie de collaboration soit compromise et utilisée comme mécanisme d’agression sociale. Canonical et Ubuntu ne tolèrent pas les discours de haine ou les propos offensants de quelque nature que ce soit, conformément à notre code de conduite 21« .

Un GitHub demande de tirage repéré par les utilisateurs de Reddit [1, 2] et vu par BleepingComputer a supprimé le « insultant [localization] cordes » vers le 12 octobre.

BleepingComputer a observé que les chaînes ukrainiennes malveillantes et énigmatiques avaient été injectées par un utilisateur du nom de « Danilo Negrilo ». vers la fin du fichier de traduction, ce qui les rend plus difficiles à repérer.

Bien que les traductions malveillantes aient été découvertes à une époque de tensions accrues au Moyen-Orient, l’histoire confirme que le sabotage a eu lieu vers le 22 septembre, avant l’entrée en vigueur de la guerre entre Israël et le Hamas.

Préoccupations concernant les injections de logiciels malveillants

Étant donné que l’impact de cet incident est resté limité aux traductions, les utilisateurs ont fait part de leurs inquiétudes quant à la possibilité que des logiciels malveillants puissent être injectés dans les futures versions d’Ubuntu via des dépendances de la même manière.

« Je fais confiance à Ubuntu car c’est le plus largement utilisé, il devrait donc avoir la meilleure équipe de révision, mais si cela se produit avec des traductions et que personne ne l’a vu, imaginez des dépendances avec des logiciels malveillants injectés. » posté un utilisateur sur X (anciennement Twitter). « Je pense que personne ne critique quoi que ce soit. »

« Si cela est vrai, cela signifie que vous ne testez pas en version bêta les versions non anglaises de votre distribution. » dit un autre.

« Les possibilités de malware provenant d’acteurs de mauvaise foi sont énormes. C’est quelque chose qui doit être comblé. Vous n’êtes pas elementaryOS. Vous êtes une grande entreprise et cela ne devrait pas arriver. »

Il convient toutefois de noter que l’examen des traductions soumises dans différentes langues, à moins que les développeurs eux-mêmes maîtrisent ces langues, est une tâche beaucoup plus difficile pour laquelle un audit de sécurité du code régulier n’est peut-être pas conçu.

De plus, les dépendances, le code et les composants open source peuvent subir un processus de validation distinct, visant à contrecarrer les logiciels malveillants, de celui adapté aux traductions, ce qui rend les incidents comme ceux-ci plus difficiles à découvrir.

Ubuntu a maintenant restauré ses traductions ukrainiennes « à l’État avant qu’il ne soit saboté », mais il est passer du temps supplémentaire sur « un audit plus large avant de le rendre officiellement disponible ».

En attendant, il est conseillé aux utilisateurs de télécharger Ubuntu Desktop 23.10 depuis le Téléchargements Ubuntu page utilisant l’ISO du programme d’installation hérité qui n’est pas affecté par l’incident. Alternativement, les utilisateurs peuvent effectuer une mise à niveau à partir d’une version Ubutnu précédemment prise en charge.