Une faille de GitHub pourrait mettre en danger des millions d'utilisateurs

Publié le 05 mars 2024 à 09h02

GitHub est la nouvelle cible des hackers © Shutterstock

Cette vulnérabilité représente une menace importante pour les référentiels appartenant à des organisations réputées telles que Google.

Des millions de logiciels en danger sur GitHub, rien que ça. C'est le cri d'alarme lancé par Aqua, une société spécialisée dans la sécurité du cloud. En cause : une faille critique baptisée RepoJacking, qui touche des millions de référentiels hébergés sur la plateforme de développement collaborative.

Cette faille permet à des pirates informatiques de s'infiltrer dans des dépôts, y compris ceux appartenant à des organisations de renom comme Google ou Lyft. Une fois infiltrés, ils peuvent manipuler le code source, ce qui peut avoir des conséquences désastreuses sur les utilisateurs.

Quand les pirates s'emparent du référentiel GitHub

Imaginez vos dépôts GitHub comme des coffres-forts numériques où les développeurs stockent précieusement code et fichiers de projet. Un système ingénieux, baptisé Git, veille sur ces coffres, traçant chaque modification et permettant à plusieurs développeurs de collaborer. Mais attention, car si un pirate informatique parvient à s'introduire dans l'un d'eux, les conséquences peuvent être désastreuses.

Le code devient alors une arme. Introduction de logiciels malveillants, vol de données sensibles, sabotage du projet, tout est possible. Les ramifications s'étendent loin, provoquant failles de sécurité, fuites de données et retards conséquents.

La vigilance est donc de mise. Sauvegarder régulièrement vos dépôts et gérer les accès avec soin devient crucial pour protéger votre précieux code et garantir la sécurité de vos projets.

Une menace de taille pour le géant GitHub © Shutterstock

La menace RepoJacking

Le détournement de référentiel de dépendances, également connu sous le nom de RepoJacking, représente une menace grandissante pour la sécurité logicielle. Cette attaque repose sur l'exploitation de comptes GitHub abandonnés ou usurpés pour diffuser des versions compromises de logiciels populaires. Les logiciels infectés peuvent ensuite exécuter des actions malveillantes sur les systèmes des utilisateurs.

Le mécanisme est alors en marche. Les attaquants identifient et récupèrent des comptes GitHub inactifs ou dont les noms d'utilisateurs ont été modifiés.
Ils injectent ensuite du code malveillant dans ces référentiels logiciels contrôlés par les comptes compromis. Les logiciels infectés sont alors diffusés via les mécanismes de dépendances des plateformes de développement logiciel.

Des attaques qui ne sont toutefois pas nouvelles © Shutterstock

Ces attaques ne datent pas d'hier. En 2016, un étudiant a téléchargé des scripts personnalisés dans des référentiels de packages populaires tels que RubyGems, PyPi et NPM. Dans cette manipulation, il se faisait passer pour des packages légitimes, exploitant ainsi les erreurs des utilisateurs lors de la sélection des noms de packages, une technique connue sous le nom de typosquatting.

En 2021, un chercheur a employé la technique de l'attaque par confusion de dépendances, également appelée attaque par confusion d'espace de noms, pour compromettre les réseaux de grandes entreprises telles qu'Apple, Microsoft et Tesla.

Meilleur antivirus, le comparatif en novembre 2024

Clubic a testé et comparé les performances, le niveau de sécurité et le rapport qualité-prix des meilleurs Antivirus du marché. Découvrez quel est le meilleur logiciel pour vous protéger des malwares et sécuriser vos données en 2024.

Source : CySecurity News, Aquasec

Par Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Articles de Mélina LOUPIA

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (3)

Feunoir

J’avais vu récemment des articles sur un souci de Github de fork massif des projets avec modification de l’original avec un code nocif. C’est déjà casse-pieds mais là c’est encore + insidieux. Le clonage massif, quand c’est robotisé github le detecte assez bien (cela en rate quelques-uns (donc bien trop)) mais le clonage manuel passerait bien

Et ici en resumé
–Bidule utilise le code de toto en dépendance pour son projet
– toto decide de changer de nom, le code de Bidule passe sans problème sur le nouveau nom malgré que ce soit encore toto dans son code
– mais si un « toto » reapparait il bascule sur ce nom toto

Incompréhensible que l’on puisse faire un compte avec un nom ayant déjà existé. C’est un peu comme le mail hotmail que j’ai supprimé, si n’importe qui pouvait refaire ce nom d’utilisateur il aurait accès aux qq sites que j’ai (peut être) raté.
Pour les prises de contrôle de vieux compte c’est + compliqué à gerer mais je n’ai pas l’impression que ce soit le scenario le plus utilisé ici, surement bien plus difficile que de faire un nouveau compte sur un ancien nom

mcbenny

Donc rien de nouveau sous le soleil.
Et sinon, c’est quoi un « référentiel » ?
Sinon il y avait aussi le problème de l’utilisation de packages privés en tant que dépendances, et si quelqu’un créait un package public portant le même nom, celui-ci était préféré au « privé », d’où ici aussi, l’injection de code externe sans même forcer la porte !

Nmut

C’est le dépôt (ou repository british)…