Source: Wiki du projet LineageOS for microG (GitHub), mise à jour par l’équipe de maintenance; annonce initiale autour du 8 décembre 2025, clôture indiquée le 15 février 2026.

— L’incident porte sur une exposition de clés privées du projet dans un dépôt git public depuis janvier 2025. Deux types de clés ont été compromis: une clé rsync utilisée pour uploader les artefacts de build vers le serveur de téléchargement/OTA, et des clés de signature de builds (LineageOS for microG « L4M » et builds non officiels LOS; ainsi que des builds non officiels IodéOS pour Sony et autres appareils; les builds non officiels pour Google Pixel sur une autre machine n’étaient pas signés avec ces clés).

— Impacts et risques: potentiel upload non autorisé de contenus vers le serveur de téléchargement, atteinte à l’intégrité et la fiabilité des fichiers publiés, et possibilité de builds malveillants signés paraissant légitimes. Les mainteneurs indiquent ne pas avoir de preuve de builds malveillants circulant ni d’upload non autorisé détecté pour les builds récents (depuis le 1er septembre), mais reconnaissent qu’un contournement via élévation de privilèges et manipulation de logs resterait théoriquement possible. Les builds d’avant le 10 janvier 2025 sont jugés sûrs; pour la période entre ces dates et le 1er septembre 2025, l’absence de logs empêche de statuer.

— Mesures prises: arrêt des téléchargements/OTA, suppression des contenus anciens, révocation de la clé rsync et déploiement d’une nouvelle, mise en place d’un nouveau serveur reconstruit from scratch, création de nouvelles clés de signature, et gestion de l’incident via un projet GitHub privé. Reprise des builds annoncée le 22 décembre 2025: les nouvelles versions apparaissent dans l’Updater mais échouent à la vérification (nouvelles clés), imposant une installation manuelle; l’équipe précise que, malgré une indication initiale contraire, un dirty flash peut fonctionner. L’incident est clôturé au 15 février 2026.

— Produits concernés: LineageOS for microG (L4M), builds LOS non officiels, et IodéOS non officiels (Sony et autres). Les builds non officiels pour Google Pixel réalisés sur une autre machine ne sont pas concernés.

— Analyse de cause racine et communication: l’équipe attribue l’incident à une erreur humaine (upload de clés privées dans un dépôt public) sur fond de ressources limitées et d’une petite équipe. Des excuses et un plan pour renforcer la maintenance/procédés sont formulés. Ce document sert de rapport d’incident avec chronologie, risques, et mesures de remédiation.

TTPs observés/évoqués:

  • Utilisation d’une clé rsync compromise pour des uploads non autorisés vers un serveur de téléchargement.
  • Possibilité d’élévation de privilèges sur un hôte Debian pour étendre l’accès.
  • Signature de builds malveillants avec des clés de signature compromises pour contourner la vérification.
  • Éventuelle manipulation de logs pour masquer des accès non autorisés.

IOCs: non fournis dans la communication officielle. ⚠️

Type d’article: rapport d’incident/communication officielle du projet visant à documenter l’exposition de clés, les risques induits et la remédiation.

🔗 Source originale : https://github.com/lineageos4microg/l4m-wiki/wiki/December-2025-security-issues