GitHub a mis un avertissement concernant « l’accs non autoris un ensemble de dpts utiliss dans la planification et le dveloppement de GitHub Desktop et Atom » dans un piratage qui a eu lieu en dcembre.
Il est conseill aux utilisateurs de s’assurer qu’ils installent les dernires mises jour des logiciels concerns, mais rien n’indique pour l’instant que GitHub.com ait t touch. Les attaquants ayant vol des certificats de signature de code, GitHub rvoque les certificats de certaines versions d’Atom et de GitHub Desktop le 2 fvrier, de sorte que les utilisateurs doivent effectuer les mises jour avant cette date.
Rvlant quelques dtails de l’attaque, Alexis Wales de GitHub dclare : « Un ensemble de certificats de signature de code crypts a t exfiltr ; cependant, les certificats taient protgs par un mot de passe et nous n’avons aucune preuve d’utilisation malveillante. titre de mesure prventive, nous allons rvoquer les certificats exposs utiliss pour les applications GitHub Desktop et Atom. La rvocation de ces certificats invalidera certaines versions de GitHub Desktop pour Mac et Atom« .
Wales poursuit :
« Le 6 dcembre 2022, les rfrentiels de nos organisations atom, desktop et autres organisations dprcies appartenant GitHub ont t clons par un jeton d’accs personnel (PAT) compromis associ un compte machine. Une fois dtecte le 7 dcembre 2022, notre quipe a immdiatement rvoqu les informations d’identification compromises et a commenc enquter sur l’impact potentiel sur les clients et les systmes internes. Aucun des rfrentiels affects ne contenait de donnes clients.
Cependant, plusieurs certificats de signature de code chiffrs taient stocks dans ces dpts pour tre utiliss via des actions dans nos flux de travail GitHub Desktop et Atom release. Nous n’avons aucune preuve que l’acteur de la menace a pu dcrypter ou utiliser ces certificats. »
GitHub indique que la version suivante de Ces versions de GitHub Desktop pour Mac cesseront de fonctionner le 2 fvrier, mais prcise que GitHub Desktop pour Windows n’est pas affect :
3.1.2
3.1.1
3.1.0
3.0.8
3.0.7
3.0.6
3.0.5
3.0.4
3.0.3
3.0.2
En outre, la socit prvient que les versions 1.63.0 et 1.63.1 d’Atom cesseront de fonctionner le 2 fvrier, et que pour continuer utiliser Atom, les utilisateurs devront tlcharger une version antrieure d’Atom.
Source : GitHub
Et vous ?
Qu’en pensez-vous ?
Ce piratage de GitHub vous a-t-il affect ?
Voir aussi :