lignes code

Une faille de sécurité présente dans Travis CI, un logiciel d'intégration continue, a exposé les variables d'environnement de milliers de projets open source.

Les variables d'environnement de tous les projets publics utilisant le logiciel étaient accessibles pour n'importe quelle requête pull et pouvaient donc être exfiltrées.

Lire aussi :
L'hébergeur de sites liés à l'extrême-droite Epik aurait été piraté et ses données dérobées par Anonymous

Des variables d'environnement exposées

Travis CI est un logiciel qui permet de tester et de déployer ses applications de manière automatisée. Dans le cadre d'un fonctionnement normal, Travis CI lance un build à chaque nouvelle requête pull. Cependant, si ces requêtes proviennent de contributeurs extérieurs, les variables d'environnement ne sont pas ajoutées à ces builds pour des raisons de sécurité. En effet, celles-ci contiennent souvent des informations sensibles, comme des jetons d'authentification, et doivent impérativement rester secrètes.

Cependant, du 3 au 10 septembre, elles ont été rendues accessibles lors de n'importe quelle requête pull. Tous les répertoires publics utilisant Travis CI sont concernés et les variables d'environnement de nombreux projets open source ont donc potentiellement pu être récupérées.

Lire aussi :
FORCEDENTRY : les détails de la faille "zero day" des iMessages utilisée par Pegasus pour infecter les iPhone

Une réponse insuffisante pour les développeurs

Comme rapporté par Ars Technica, ce n'est pas tant la faille en elle-même qui attise la colère des développeurs que la réponse apportée par l'organisation. Le chercheur Felix Lange a découvert la faille et a notifié Travis CI de son existence le 7 septembre. La seule réponse apportée a été de suggérer de faire une rotation des secrets, ce qui n'était suffisant ni pour le chercheur ni pour Péter Szilágyi, Chef d'équipe d'Ethereum, qui ont demandé à GitHub de blacklister le logiciel.

Le 10 septembre, le logiciel a été patché dans la plus grande discrétion, sans annonce et sans prévenir les développeurs concernés que leurs projets avaient été mis en péril. Après des pressions supplémentaires, un bulletin de sécurité laconique a été ajouté au site de l'organisation, se contenant d'expliquer succinctement le problème et de rappeler aux développeurs la nécessité de faire une rotation des secrets régulièrement. Une réponse qui ne suffira pas à calmer les clients de Travis CI.

Sources : Ars Technica, Péter Szilágyi