GitHub a déclaré que des intrus inconnus avaient obtenu un accès non autorisé à certains de ses référentiels de code et volé des certificats de signature de code pour deux de ses applications de bureau : Desktop et Atom.
Les certificats de signature de code placent un tampon cryptographique sur le code pour vérifier qu’il a été développé par l’organisation répertoriée, qui dans ce cas est GitHub. S’ils sont déchiffrés, les certificats pourraient permettre à un attaquant de signer des versions non officielles des applications qui ont été falsifiées de manière malveillante et de les faire passer pour des mises à jour légitimes de GitHub. Les versions actuelles de Desktop et Atom ne sont pas affectées par le vol d’informations d’identification.
« Un ensemble de certificats de signature de code cryptés ont été exfiltrés ; cependant, les certificats étaient protégés par un mot de passe et nous n’avons aucune preuve d’utilisation malveillante », a écrit la société dans un avis. « À titre préventif, nous révoquerons les certificats exposés utilisés pour les applications GitHub Desktop et Atom. »
Les révocations, qui seront effectives jeudi, entraîneront l’arrêt du fonctionnement de certaines versions des applications. Ces applications sont :
GitHub Desktop pour Mac avec les versions suivantes :
- 3.1.2
- 3.1.1
- 3.1.0
- 3.0.8
- 3.0.7
- 3.0.6
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
Atome:
Desktop pour Windows n’est pas affecté.
Le 4 janvier, GitHub a publié une nouvelle version de l’application Desktop qui est signée avec de nouveaux certificats qui n’ont pas été exposés à l’acteur de la menace. Les utilisateurs de Desktop doivent mettre à jour cette nouvelle version.
Un certificat compromis a expiré le 4 janvier et un autre doit expirer jeudi. La révocation de ces certificats offre une protection s’ils ont été utilisés avant leur expiration pour signer des mises à jour malveillantes. Sans la révocation, ces applications passeraient le contrôle de signature. La révocation a pour effet de faire échouer la vérification de la signature de tout le code, peu importe quand il a été signé.
Un troisième certificat concerné, un certificat Apple Developer ID, n’est pas censé expirer avant 2027. GitHub révoquera également ce certificat jeudi. En attendant, GitHub a déclaré : « Nous travaillons avec Apple pour surveiller tout nouveau fichier exécutable (comme les applications) signé avec le certificat exposé ».
Le 6 décembre, GitHub a déclaré que l’acteur de la menace avait utilisé un jeton d’accès personnel (PAT) compromis pour cloner des référentiels pour Desktop, Atom et d’autres organisations obsolètes appartenant à GitHub. GitHub a révoqué le PAT un jour plus tard après avoir découvert la brèche. Aucun des référentiels clonés ne contenait de données client. L’avis n’expliquait pas comment le PAT avait été compromis.
Les référentiels comprenaient « plusieurs certificats de signature de code cryptés » que GitHub utilise pour signer les versions des applications Desktop et Atom. Les clients n’ont pas d’accès direct. Il n’y a aucune preuve que l’auteur de la menace puisse déchiffrer ou utiliser l’un des certificats.
« Nous avons enquêté sur le contenu des référentiels compromis et n’avons trouvé aucun impact sur GitHub.com ou sur l’une de nos autres offres en dehors des certificats spécifiques indiqués ci-dessus », indique l’avis. « Aucune modification non autorisée n’a été apportée au code dans ces référentiels. »