GitHub a patché un bug qui connectait les utilisateurs sur d’autres comptes

0

GitHub a automatiquement déconnecté de nombreux utilisateurs en invalidant leurs sessions GitHub.com pour protéger les comptes des utilisateurs contre une faille de sécurité potentiellement grave.

Plus tôt ce mois-ci GitHub avait reçu un rapport d’un parti tiers concernant un comportement anormal.

Le comportement anormal découlait d’une vulnérabilité rare d’état de course dans laquelle la session de connexion d’un utilisateur GitHub a été mal routée vers le navigateur Web d’un autre utilisateur connecté, donnant à ce dernier un cookie de session authentifié et l’accès au compte de l’autre utilisateur.

Google déconnecte des utilisateurs automatiquement à cause d’un bug

Github a déconnecté tous les utilisateurs qui se sont connectés avant le 8 Mars à 12:03 UTC.

Cette mesure a été prise près d’une semaine après que l’entreprise ait reçu un premier rapport de la part d’un parti tiers concernant un comportement suspect sur GitHub.com.

« Le 2 mars, GitHub a reçu un rapport sur des comportements anormaux de session d’utilisateur authentifié sur GitHub.com. »

« Après avoir reçu le rapport, GitHub Security and Engineering a immédiatement commencé à enquêter pour comprendre la cause, l’impact et la prévalence de ce problème sur GitHub.com », peut-on lire dans un communiqué de sécurité de l’entreprise.

Le vendredi 5 mars, les équipes de GitHub ont corrigé la faille de sécurité et poursuivi l’analyse au cours du week-end.

Invalider toutes les sessions a été la dernière étape prise pour corriger le bug.

github

La vulnérabilité, selon GitHub, pourrait être exploitée dans des circonstances extrêmement rares lorsqu’une condition de course se produirait pendant le processus de traitement de la requête par le backend.

Dans un tel cas, le cookie de session d’un utilisateur GitHub connecté serait envoyé au navigateur d’un autre utilisateur, donnant à ce dernier accès au compte d’un autre utilisateur.

« Il est important de noter que ce problème n’était pas le résultat de compromission de mots de passe de compte, de clés SSH ou de jetons d’accès personnels et rien n’indique que cela ait été le résultat d’un compromis entre d’autres systèmes GitHub. »

« Au lieu de cela, ce problème était causé par la mauvaise manipulation des sessions authentifiées. »

« Ce problème ne pouvait pas être intentionnellement déclenché ou exploité par un utilisateur malveillant », explique Mike Hanley, chef de sécurité chez GitHub.

Moins de 0,001% de sessions ont été affectées

La société affirme que le bogue sous-jacent était présent sur GitHub.com pour une période cumulative de moins de deux semaines à certains moments entre le 8 février et le 5 mars 2021.

Après l’identification et la correction de la cause initiale avant le 5 mars, l’entreprise a déployé un deuxième patch le 8 mars afin de renforcer davantage la sécurité du site Web.

C’est ce qui a poussé GitHub à invalider toutes les sessions actives avant le 8 mars à midi.

Il n’y a aucune preuve que d’autres produits de GitHub.com tels que GitHub Enterprise Server aient été touchés à la suite de ce bogue.

« Nous pensons que ce mauvais routage de session s’est produit dans moins de 0,001 % des séances authentifiées sur GitHub.com »

« Pour la très petite population de comptes que nous savons être touchés par ce problème, nous avons contacté les utilisateurs et leur avons fournis des informations supplémentaires et des conseils », poursuit Hanley dans le communiqué.

Bien que nous n’avons pas encore confirmé toute l’ampleur de l’impact de ce bug, l’estimation de 0,001% des sessions authentifiées pourrait signifier plus de dizaines de milliers de comptes, étant donné que GitHub reçoit plus de 32 millions de visiteurs actifs (authentifiés ou non) en un mois.

L’entreprise n’a pas encore dévoilé si l’un des référentiels de projet ou du code source ont été trafiqués à la suite de cette vulnérabilité.

Si les vulnérabilités d’authentification comme celles-ci sont exploitées par des pirates informatiques cela peut ouvrir la voie à des attaques de la chaîne d’approvisionnement des logiciels.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.