Des milliers de dépôts de code source ouvert sur GitHub pourraient être en danger en raison d’une ancienne vulnérabilité appelée RepoJacking. C’est ce qu’écrit la société de cybersécurité Aqua dans un rapport établi à partir d’un échantillon de plus d’un million de dépôts.
Au cours de l’analyse, Aqua a constaté que pas moins de 3 % des dépôts étaient vulnérables à une attaque de RepoJacking. L’auteur écrit dans son rapport que les pirates peuvent prendre le contrôle d’une partie ou même de la totalité d’un projet GitHub. Le problème est que les organisations propriétaires des projets changent parfois de nom et créent donc des liens pour conserver l’ancien nom de compte. Il s’avère que ce lien peut être exploité par les pirates.
Sécurité incomplète
Selon Aqua, GitHub a pris des mesures, mais elles s’avèrent insuffisantes pour repousser toutes les attaques. « Malgré les efforts déployés ces dernières années pour bloquer le RepoJacking, les attaquants peuvent toujours contourner la sécurité », ont déclaré Ilay Goldman et Yakir Kodkoda d’Aqua. Si une attaque réussit, des malwares peuvent être installés, avec toutes les conséquences que cela implique. L’entreprise de sécurité a même illustré certaines techniques d’attaque, aussi bien manuelles qu’automatiques.
Le RepoJacking n’est pas un phénomène nouveau,Silicon Angle le sait. Il y a un an, Checkmarx en parlait déjà dans un article de blog. Déjà à l’époque, des milliers de projets GitHub s’étaient révélés être une cible ouverte pour les attaquants. Depuis, malgré plusieurs tentatives de la part de GitHub, le problème n’a toujours pas été résolu. L’entreprise a découvert plus de 36 000 ensembles de données vulnérables à partir de l’historique des journaux de juin 2019, bien avant l’article de Checkmarx.
Contrôler les dépôts
Aqua a découvert que plusieurs projets appartenaient à de grands acteurs tels que Google et a averti les parties concernées avant de publier son rapport. Ce n’est pas parce que les données sont antérieures au rapport de Checkmarx que plusieurs propriétaires de comptes ont déjà pris des mesures pour se protéger. C’est le cas de Google et de Lyft, qui ont informé Aqua que leurs référentiels respectifs n’étaient pas (ou plus) utilisés.
Les organisations qui possèdent des projets open source sur GitHub sont conseillées par Aqua. Par exemple, elles devraient vérifier régulièrement leurs dépôts pour voir s’il y a des liens vers des comptes externes et s’assurer que les conventions de dénomination sont valides. « Lorsque le nom de l’organisation change, les entreprises doivent s’assurer qu’elles sont toujours propriétaires de l’ancien nom. De cette façon, elles empêchent les pirates d’utiliser cet ancien nom pour lancer une attaque », a déclaré Aqua.