{"id":1173126,"date":"2024-03-01T04:43:30","date_gmt":"2024-03-01T06:43:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/github-deploie-une-protection-push-par-defaut-contre-lanalyse-secrete-pour-les-referentiels-publics\/"},"modified":"2024-03-01T04:43:35","modified_gmt":"2024-03-01T06:43:35","slug":"github-deploie-une-protection-push-par-defaut-contre-lanalyse-secrete-pour-les-referentiels-publics","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/github-deploie-une-protection-push-par-defaut-contre-lanalyse-secrete-pour-les-referentiels-publics\/","title":{"rendered":"GitHub d\u00e9ploie une protection push par d\u00e9faut contre l’analyse secr\u00e8te pour les r\u00e9f\u00e9rentiels publics"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>01 mars 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>DevSecOps \/ Cybers\u00e9curit\u00e9<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

GitHub a annonc\u00e9 jeudi qu’il activait par d\u00e9faut la protection contre les analyses secr\u00e8tes pour toutes les pouss\u00e9es vers des r\u00e9f\u00e9rentiels publics.<\/p>\n

“Cela signifie que lorsqu’un secret pris en charge est d\u00e9tect\u00e9 lors d’une transmission vers un r\u00e9f\u00e9rentiel public, vous aurez la possibilit\u00e9 de supprimer le secret de vos commits ou, si vous consid\u00e9rez que le secret est s\u00fbr, de contourner le blocage”, Eric Tooley et Courtney Claessens dit<\/a>.<\/p>\n

Protection contre la pouss\u00e9e<\/a> \u00e9tait pilot\u00e9 pour la premi\u00e8re fois<\/a> en tant que fonctionnalit\u00e9 opt-in en ao\u00fbt 2023, bien qu’elle soit en test depuis avril 2022. Elle est devenue g\u00e9n\u00e9ralement disponible en mai 2023.<\/p>\n

Le analyse secr\u00e8te<\/a> La fonctionnalit\u00e9 est con\u00e7ue pour identifier plus 200 types de jetons<\/a> et mod\u00e8les de plus de 180 fournisseurs de services afin d’emp\u00eacher leur utilisation frauduleuse par des acteurs malveillants. <\/p>\n

\"La<\/a><\/center><\/div>\n

Ce d\u00e9veloppement intervient pr\u00e8s de cinq mois apr\u00e8s que la filiale de Microsoft a \u00e9tendu l’analyse des secrets pour inclure les contr\u00f4les de validit\u00e9 des services populaires tels qu’Amazon Web Services (AWS), Microsoft, Google et Slack.<\/p>\n

Cela fait \u00e9galement suite \u00e0 la d\u00e9couverte d’une attaque de \u00ab\u00a0confusion de repo\u00a0\u00bb ciblant GitHub qui inonde la plate-forme d’h\u00e9bergement de code source avec des milliers de r\u00e9f\u00e9rentiels contenant des logiciels malveillants obscurcis capables de voler des mots de passe et des crypto-monnaies sur les appareils des d\u00e9veloppeurs.<\/p>\n

\"GitHub\"<\/a><\/div>\n

Les attaques repr\u00e9sentent une autre vague de la m\u00eame campagne de distribution de logiciels malveillants r\u00e9v\u00e9l\u00e9e par Phylum et Tendance Micro<\/a> l’ann\u00e9e derni\u00e8re, en exploitant de faux packages Python h\u00e9berg\u00e9s sur des r\u00e9f\u00e9rentiels clon\u00e9s et trojanis\u00e9s pour diffuser un malware voleur appel\u00e9 Pince \u00e0 Capuchons Noirs<\/a>.<\/p>\n

“Les attaques de confusion sur les d\u00e9p\u00f4ts reposent simplement sur le fait que les humains choisissent par erreur la version malveillante plut\u00f4t que la vraie, en utilisant parfois \u00e9galement des techniques d’ing\u00e9nierie sociale”, Apiiro dit<\/a> dans un rapport cette semaine.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n