Actus

GitHub révoque les certificats de signature de code volés lors du piratage de repo

Par Philippe Ternision , le 31 janvier 2023 , mis à jour le 31 janvier 2023 - 3 minutes de lecture
github
AccueilActusGitHub révoque les certificats de signature de code volés lors du piratage de repo
Notez l'article

Selon GitHub, des attaquants non identifiés ont eu accès à certains de ses dépôts de développement et de planification des versions et ont volé des certificats cryptés de signature de code pour ses programmes Desktop et Atom.

Les certificats protégés par un mot de passe (un certificat Apple Developer ID et deux certificats de signature de code Digicert utilisés pour les applications Windows) n’ont pas encore été liés à une quelconque indication d’activité criminelle, selon GitHub.

Selon GitHub, “le 6 décembre 2022, un jeton d’accès personnel (PAT) piraté connecté à un compte machine a été utilisé pour cloner des projets de nos organisations atom, desktop et autres organisations dépréciées appartenant à Github.”

“Lorsque les informations d’identification piratées ont été découvertes le 7 décembre 2022, notre équipe les a rapidement révoquées et a commencé à examiner comment elles ont pu affecter les clients et les systèmes internes. Les référentiels affectés ne comprenaient pas de données de clients.”

L’organisation a également déclaré qu’aucune modification non autorisée n’a été apportée aux projets impactés et qu’il n’y a aucun risque pour les services de GitHub.com à la suite de cette compromission de sécurité.

Cependant, les certificats compromis seront révoqués afin de rendre invalides les versions Atom et GitHub Desktop pour Mac.

Les trois certificats seront annulés le 2 février 2023, selon GitHub :

  • Un certificat Digicert a expiré le 4 janvier 2023 et le second expirera le 1er février 2023. Une fois expirés, ces certificats ne peuvent plus être utilisés pour signer du code. Bien qu’ils ne posent pas de risque permanent, par mesure de prévention, nous les révoquerons le 2 février.
  • Le certificat Apple Developer ID est valable jusqu’en 2027. Nous travaillons avec Apple pour surveiller tout nouveau fichier exécutable (comme les applications) signé avec le certificat exposé jusqu’à ce que le certificat soit révoqué le 2 février.

Le 2 février, GitHub révoquera les certificats de signature Mac et Windows utilisés pour signer les versions 3.0.2-3.1.2 de Desktop app et les versions 1.63.0-1.63.1 d’Atom. Les deux versions les plus récentes de l’application Atom (1.63.0-1.63.1) ont été supprimées de la page des versions.

Toutes les versions de l’application signées avec les certificats compromis deviendront inopérantes après la révocation des certificats.

“Nous avons publié une version mise à jour de l’application Desktop le 4 janvier 2023. Cette version est signée par de nouveaux certificats auxquels l’acteur de la menace n’a pas été exposé”

Pour éviter toute interruption de vos flux de travail, “Nous conseillons vivement de mettre à jour Desktop et/ou de rétrograder Atom avant le 2 février.”

 

Vues 92

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.