Le site officiel de Xubuntu, une variante légère d’Ubuntu basée sur l’environnement Xfce, a récemment été compromis par des cybercriminels. Ces derniers ont modifié les liens de téléchargement pour rediriger les utilisateurs vers un fichier ZIP malveillant, contenant un exécutable Windows déguisé en outil de téléchargement sécurisé.
L’incident, survenu en octobre 2025, a été rapidement signalé par la communauté et résolu par l’équipe du projet, qui a restauré une version antérieure de la page de téléchargements.
Le malware en question, identifié comme un « crypto clipper », cible principalement les utilisateurs Windows en s’installant dans le dossier AppData et en modifiant le contenu du presse-papiers. Il remplace les adresses de portefeuilles cryptographiques par celles des attaquants, facilitant ainsi le vol de fonds lors de transactions. Et contrairement à ce que l’on pourrait penser, ce logiciel n’affecte pas directement les systèmes Linux, mais vise les novices migrés de Windows 10, dont le support prend fin bientôt.
La découverte de cette brèche s’est faite via des alertes d’utilisateurs sur le web, où un post sur reddit a détaillé le fichier suspect « Xubuntu-Safe-Download.zip » et partagé des captures d’écran. L’équipe Xubuntu a réagi en désactivant la page de téléchargements, qui affiche désormais une version obsolète datant d’avril 2024, sans liens actifs. Un incident similaire avait touché le blog du site un mois plus tôt, suggérant possiblement une faille persistante dans l’hébergement WordPress géré par Canonical.
Heureusement, l’impact semble limité : les miroirs officiels d’Ubuntu, comme cdimage.ubuntu.com, n’ont pas été affectés, et les téléchargements via torrents ou ISO vérifiés restent sécurisés. Peu d’utilisateurs auraient été touchés, mais l’événement souligne les risques pour les débutants en Linux.
Pour éviter de tels pièges, les experts recommandent de toujours vérifier les hachages (checksums) des fichiers téléchargés et de privilégier les sources officielles vérifiées. Cet incident n’est que le resultat d’une série d’attaques récentes contre l’écosystème Linux, incluant un cheval de Troie sur Arch Linux AUR en juillet, un DDoS sur Fedora en août, et un piratage de GitLab chez Red Hat.
