Incontournables auprès des développeurs, les hébergeurs de code les plus populaires révoquent massivement des clés SSH.
La faute à une faille découverte sur GitKraken qui a poussé la société Axosoft à avertir les autres plateformes d’une vulnérabilité autour de ses clés d'authentification SSH.
Une vulnérabilité des clés SSH de GitKraken
Depuis le début de semaine, Microsoft, GitHub, GitLab, et BitBucket, quatre des plus grands hébergeurs de codes, ont entamé une révocation de masse des clés SSH. Une démarche initiée à la demande d'Axosoft, qui a repéré une faille de sécurité pour les versions 7.6.x, 7.7.x et 8.0.0 de son propre logiciel GitKraken. Dans un billet de blog, le développeur a immédiatement averti les autres sites où un compte de sa plateforme peut être synchronisé.
Concrètement, sous certaines conditions, cette vulnérabilité peut permettre à des personnes malveillantes de s’attaquer à la bibliothèque tierce utilisée pour dupliquer les clés SSH trop faibles générées par ces versions plus anciennes de GitKraken. Une manœuvre qui pourrait leur donner accès aux comptes utilisateurs touchés pour voler leurs codes sources, mais ni Axosoft, ni les quatre plateformes n’ont détecté d’attaque suite à cette faille, pour le moment du moins.
Les personnes touchées ont été contactées dans les 24 heures qui ont suivi l’alerte, mais Microsoft, GitHub, GitLab, et BitBucket recommandent malgré tout à leurs utilisateurs et utilisatrices de générer de nouvelles clés SSH en utilisant un client Git différent ou en passant par la version de GitKraken mise à jour.
Source : Axosoft
