Les nouvelles politiques de GitHub permettent la suppression des exploits

0

GitHub a annoncé ses nouvelles directives communautaires qui expliquent comment la société traitera les exploits et les échantillons de logiciels malveillants hébergés sur leur service.

Pour donner un aperçu des nouveaux changements de politique, le chercheur en sécurité Nguyen Jang a publié un exploit de preuve de concept (PoC) sur GitHub en Mars pour la vulnérabilité Proxylogon de Microsoft Exchange.

Peu de temps après avoir publié l’exploit, Jang a reçu un e-mail de GitHub, propriété de Microsoft, indiquant que l’exploit avait été supprimé car il violait les politiques d’utilisation acceptable.

Dans une déclaration, GitHub a déclaré avoir supprimé la preuve de concept pour protéger les serveurs Microsoft Exchange qui étaient fortement exploités à l’époque à cause de la vulnérabilité Proxylogon.

« Nous comprenons que la publication et la distribution de code d’exploitation de preuve de concept a une valeur éducative et de recherche pour la communauté de la sécurité, et notre objectif est d’équilibrer cet avantage avec la sécurité de l’écosystème au sens large. Conformément à nos politiques d’utilisation acceptable, GitHub a désactivé le dépôt suite à des rapports indiquant qu’il contient du code de preuve de concept pour une vulnérabilité récemment révélée qui est activement exploitée. »

– GitHub.

Cependant, GitHub a fait face à une réaction immédiate des chercheurs en sécurité qui estimaient que GitHub contrôlait la divulgation de recherches de sécurité légitimes simplement parce que cela affectait un produit Microsoft.

GitHub publie une mise à jour de ses directives

En Avril, GitHub a lancé un « appel à commentaires » à la communauté de la cybersécurité concernant leurs politiques relatives aux logiciels malveillants et aux exploits hébergés sur GitHub.

Après un mois de commentaires, GitHub a officiellement annoncé que les référentiels créés pour héberger des logiciels malveillants pour des campagnes malveillantes, agir comme un serveur de commande et de contrôle, ou sont utilisés pour distribuer des scripts malveillants, sont interdits.

Cependant, le téléchargement d’exploits de preuve de concept et de logiciels malveillants est autorisé tant qu’ils ont un ‘objectif à double-usage’.

Dans le contexte des logiciels malveillants et des exploits, le double usage signifie un contenu qui peut être utilisé pour le partage positif de nouvelles informations et de la recherche tout en pouvant également être utilisé à des fins malveillantes.

Les principaux changements ajoutés aux directives GitHub sont résumés ci-dessous :

  • Nous autorisons explicitement les technologies de sécurité à double usage et le contenu lié à la recherche sur les vulnérabilités, les logiciels malveillants et les exploits. Nous comprenons que de nombreux projets de recherche en sécurité sur GitHub sont à double usage et largement bénéfiques pour la communauté de la sécurité. Nous supposons une intention positive et l’utilisation de ces projets pour promouvoir et conduire des améliorations dans l’ensemble de l’écosystème. Ce changement modifie un langage auparavant large qui pourrait être interprété à tort comme hostile aux projets à double usage, précisant que de tels projets sont les bienvenus.
  • Nous avons clarifié comment et quand nous pouvons perturber les attaques en cours qui exploitent la plate-forme GitHub en tant qu’exploit ou réseau de diffusion de contenu malveillant (CDN). Nous n’autorisons pas l’utilisation de GitHub comme appui direct d’attaques illégales causant des dommages techniques, que nous avons définis davantage comme une surconsommation de ressources, des dommages physiques, des temps d’arrêt, un déni de service ou une perte de données.
  • Nous avons clairement indiqué que nous avons un processus d’appel et de réintégration directement dans cette politique. Nous permettons à nos utilisateurs de faire appel des décisions de restreindre leur contenu ou l’accès à leur compte. Ceci est particulièrement important dans le contexte de la recherche sur la sécurité, c’est pourquoi nous avons très clairement et directement rappelé la possibilité pour les utilisateurs concernés de faire appel des mesures prises contre leur contenu.
  • Nous avons suggéré un moyen par lequel les parties peuvent résoudre les différends avant d’escalader et de signaler les abus à GitHub. Cela apparaît sous la forme d’une recommandation pour tirer parti d’un fichier SECURITY.md facultatif pour le projet afin de fournir des informations de contact pour résoudre les rapports d’abus. Cela encourage les membres de notre communauté à résoudre les conflits directement avec les responsables du projet sans avoir besoin d’avoir recours à des rapports formels d’abus de GitHub.

Bien que le contenu à double usage soit autorisé, les nouvelles directives de GitHub concernant les preuves de concept et les logiciels malveillants stipulent qu’ils conservent le droit de supprimer le contenu à double usage, tel que les exploits ou les logiciels malveillants, pour perturber les attaques actives ou les campagnes de logiciels malveillants utilisant GitHub.

« Dans de rares cas d’abus très répandu de contenu à double usage, nous pouvons restreindre l’accès à cette instance spécifique du contenu pour perturber une attaque illégale ou une campagne de logiciels malveillants en cours qui exploite la plate-forme GitHub comme un CDN d’exploit ou de logiciel malveillant. Dans la plupart de ces cas, la restriction requiert de mettre le contenu derrière l’authentification, mais peut, en dernier recours, impliquer la désactivation de l’accès ou la suppression complète lorsque cela n’est pas possible (par exemple lors de la publication en tant que gist).Nous contacterons également les propriétaires du projet sur les restrictions mises en place lorsque cela est possible.

Les restrictions sont temporaires dans la mesure du possible et ne servent pas à purger ou à restreindre un contenu à double usage spécifique, ou des copies de ce contenu, de la plate-forme à perpétuité. Bien que nous ayons pour objectif de faire de ces rares cas de restriction un processus de collaboration avec les propriétaires de projets, si vous pensez que votre contenu a été indûment restreint, nous avons mis en place un processus d’appel. »

– GitHub.

GitHub déclare qu’ils continuent à accueillir les commentaires de la communauté concernant leurs politiques pour continuer à améliorer leurs politiques.

Laisser un commentaire