Le projet Arch Linux subit depuis deux semaines une attaque par déni de service distribué (DDoS) qui paralyse une partie de son infrastructure. Dans une annonce officielle publiée le 21 août, Cristian Heusel, l’un des mainteneurs, a confirmé que l’attaque « affecte principalement notre page web principale, l’Arch User Repository (AUR) et les forums ».
Les assaillants ont visé plusieurs services essentiels, notamment le site archlinux.org, le dépôt communautaire AUR où les utilisateurs publient des scripts d’installation de paquets, ainsi que les forums. Cette perturbation empêche certains utilisateurs d’installer ou de mettre à jour leurs logiciels via les canaux habituels.
L’équipe bénévole qui gère Arch a mis en place des solutions temporaires, conseillant d’utiliser les dépôts miroirs disponibles dans le paquet pacman-mirrorlist et de passer par le miroir GitHub pour l’accès à l’AUR. Les détails techniques sur l’origine de l’attaque et les méthodes d’atténuation restent confidentiels tant que la situation n’est pas stabilisée.
L’incident intervient alors qu’Arch Linux bénéficie d’une visibilité croissante. La distribution, lancée en 2002 et fondée sur le principe KISS (Keep It Simple, Stupid), est notamment utilisée comme base pour SteamOS, le système d’exploitation du Steam Deck de Valve. Elle sert aussi de socle à d’autres distributions populaires comme Manjaro ou EndeavourOS.
Selon Foss Force, l’équipe DevOps d’Arch explore actuellement différents prestataires spécialisés dans la protection DDoS, en tenant compte non seulement du coût et de l’efficacité, mais aussi de critères éthiques. L’affaire met en lumière la vulnérabilité des projets open source gérés par de petites équipes bénévoles, malgré leur rôle central dans l’écosystème Linux.
« En tant que projet dirigé par des bénévoles, nous apprécions la patience de la communauté pendant que nous travaillons à résoudre ces problèmes », a rappelé Heusel.
