{"id":1582815,"date":"2025-03-17T09:05:33","date_gmt":"2025-03-17T11:05:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-compromis-daction-github-met-en-danger-les-secrets-ci-cd-dans-plus-de-23-000-referentiels\/"},"modified":"2025-03-17T09:05:38","modified_gmt":"2025-03-17T11:05:38","slug":"le-compromis-daction-github-met-en-danger-les-secrets-ci-cd-dans-plus-de-23-000-referentiels","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-compromis-daction-github-met-en-danger-les-secrets-ci-cd-dans-plus-de-23-000-referentiels\/","title":{"rendered":"Le compromis d&#8217;action GitHub met en danger les secrets CI \/ CD dans plus de 23 000 r\u00e9f\u00e9rentiels"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ s\u00e9curit\u00e9 du cloud<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Le-compromis-daction-GitHub-met-en-danger-les-secrets-CI.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 attirent l&#8217;attention sur un incident au cours duquel les actions TJ-Action \/ changements populaires de GitHub ont \u00e9t\u00e9 compromises pour les secrets de fuite des r\u00e9f\u00e9rentiels en utilisant l&#8217;int\u00e9gration continue et le flux de travail de livraison continue (CI \/ CD).<\/p>\n<p>Le <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/tj-actions\/changed-files\/issues\/2463\" target=\"_blank\">incident<\/a> impliqu\u00e9 le <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/tj-actions\/changed-files\" target=\"_blank\">TJ-Action \/ Files modifi\u00e9s<\/a> GitHub Action, qui est utilis\u00e9 dans plus de 23 000 r\u00e9f\u00e9rentiels. Il est utilis\u00e9 pour suivre et r\u00e9cup\u00e9rer tous les fichiers et r\u00e9pertoires modifi\u00e9s.<\/p>\n<p>Le compromis de la cha\u00eene d&#8217;approvisionnement a \u00e9t\u00e9 attribu\u00e9 \u00e0 l&#8217;identifiant CVE <a rel=\"noopener nofollow\" href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2025-30066\" target=\"_blank\">CVE-2025-30066<\/a> (Score CVSS: 8.6). L&#8217;incident aurait eu lieu quelque temps avant le 14 mars 2025.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Dans cette attaque, les attaquants ont modifi\u00e9 le code de l&#8217;action et ont mis \u00e0 jour r\u00e9troactivement plusieurs balises de version pour r\u00e9f\u00e9rencer le commit malveillant&#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/www.stepsecurity.io\/blog\/harden-runner-detection-tj-actions-changed-files-action-is-compromised\" target=\"_blank\">dit<\/a>. &#8220;L&#8217;action compromise imprime les secrets CI \/ CD dans les actions GitHub construisent les journaux.&#8221;<\/p>\n<p>Le r\u00e9sultat net de ce comportement est que si les journaux de workflow sont accessibles au public, ils pourraient conduire \u00e0 l&#8217;exposition non autoris\u00e9e de secrets sensibles lorsque l&#8217;action est ex\u00e9cut\u00e9e sur les r\u00e9f\u00e9rentiels.<\/p>\n<p>Cela comprend les cl\u00e9s d&#8217;acc\u00e8s AWS, les jetons d&#8217;acc\u00e8s personnels GitHub (PATS), les jetons NPM et les cl\u00e9s RSA priv\u00e9es, entre autres. Cela dit, il n&#8217;y a aucune preuve que les secrets divulgu\u00e9s ont \u00e9t\u00e9 siphonn\u00e9s dans une infrastructure contr\u00f4l\u00e9e par l&#8217;attaquant.<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, le <a rel=\"noopener nofollow\" href=\"https:\/\/semgrep.dev\/blog\/2025\/popular-github-action-tj-actionschanged-files-is-compromised\/\" target=\"_blank\">Code ins\u00e9r\u00e9 malveillant<\/a> est con\u00e7u pour ex\u00e9cuter un script Python h\u00e9berg\u00e9 sur un Github Gist qui vide les secrets CI \/ CD du processus de travailleur du coureur. On dit qu&#8217;il est originaire d&#8217;un engagement de code source non v\u00e9rifi\u00e9. Le Github Gist a depuis \u00e9t\u00e9 abattu.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742209532_317_Le-compromis-daction-GitHub-met-en-danger-les-secrets-CI.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742209532_317_Le-compromis-daction-GitHub-met-en-danger-les-secrets-CI.png\" alt=\"\" border=\"0\" data-original-height=\"876\" data-original-width=\"1396\"\/><\/a><\/div>\n<p>&#8220;TJ-Action \/ Change-Files est utilis\u00e9 dans les pipelines de d\u00e9veloppement de logiciels d&#8217;une organisation&#8221;, a d\u00e9clar\u00e9 Dimitri Stiliadis, CTO et co-fondateur d&#8217;Endor Labs, dans un communiqu\u00e9 partag\u00e9 avec The Hacker News. &#8220;Apr\u00e8s que les d\u00e9veloppeurs aient \u00e9crit et r\u00e9vis\u00e9 le code, ils publient g\u00e9n\u00e9ralement dans la branche principale de leur r\u00e9f\u00e9rentiel. De l\u00e0, les\u00ab pipelines \u00bbprennent-le, le construisent pour la production et le d\u00e9ploient.&#8221;<\/p>\n<p>&#8220;TJ-Action \/ Change-Files aide \u00e0 d\u00e9tecter les modifications de fichiers dans un r\u00e9f\u00e9rentiel. Il vous permet de v\u00e9rifier quels fichiers ont \u00e9t\u00e9 ajout\u00e9s, modifi\u00e9s ou supprim\u00e9s entre les commits, les succursales ou les demandes de traction.&#8221;<\/p>\n<p>&#8220;Les attaquants <a rel=\"nofollow noopener\" href=\"https:\/\/www.endorlabs.com\/learn\/github-action-tj-actions-changed-files-supply-chain-attack-what-you-need-to-know\" target=\"_blank\">modifi\u00e9 le code de l&#8217;action<\/a> et mis \u00e0 jour r\u00e9troactivement plusieurs balises de version pour r\u00e9f\u00e9rencer le commit malveillant. L&#8217;action compromise ex\u00e9cute d\u00e9sormais un script python malveillant qui vide les secrets CI \/ CD, ce qui a un impact sur des milliers de pipelines CI. &#8220;<\/p>\n<p>Les responsables du projet ont d\u00e9clar\u00e9 que les acteurs de menaces inconnus derri\u00e8re l&#8217;incident avaient r\u00e9ussi \u00e0 compromettre un jeton d&#8217;acc\u00e8s personnel GitHub (PAT) utilis\u00e9 par @ tj-actions-bot, un bot avec un acc\u00e8s privil\u00e9gi\u00e9 au r\u00e9f\u00e9rentiel compromis.<\/p>\n<p>Apr\u00e8s la d\u00e9couverte, le mot de passe du compte a \u00e9t\u00e9 mis \u00e0 jour, l&#8217;authentification a \u00e9t\u00e9 mise \u00e0 niveau pour utiliser un touke Github a \u00e9galement r\u00e9voqu\u00e9 le PAT compromis.<\/p>\n<p>&#8220;Le jeton d&#8217;acc\u00e8s personnel touch\u00e9 a \u00e9t\u00e9 stock\u00e9 comme un secret d&#8217;action Github qui a depuis \u00e9t\u00e9 r\u00e9voqu\u00e9&#8221;, les responsables <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/tj-actions\/changed-files\/issues\/2464#issuecomment-2727020537\" target=\"_blank\">ajout\u00e9<\/a>. &#8220;\u00c0 l&#8217;avenir, aucun PAT ne serait utilis\u00e9 pour tous les projets de l&#8217;organisation des actions TJ pour emp\u00eacher tout risque de r\u00e9apparition.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Quiconque utilise l&#8217;action GitHub est conseill\u00e9 de mettre \u00e0 jour <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/tj-actions\/changed-files\/releases\/tag\/v46.0.1\" target=\"_blank\">derni\u00e8re version<\/a> (46.0.1) d\u00e8s que possible. Il est \u00e9galement conseill\u00e9 aux utilisateurs d&#8217;examiner tous les flux de travail ex\u00e9cut\u00e9s entre le 14 mars et le 15 mars et de v\u00e9rifier la \u00absortie inattendue dans la section des fichiers modifi\u00e9s\u00bb. <\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois qu&#8217;un probl\u00e8me de s\u00e9curit\u00e9 est signal\u00e9 dans l&#8217;action TJ-Action \/ Files modifi\u00e9e. En janvier 2024, chercheur en s\u00e9curit\u00e9 Adnan Khan <a rel=\"nofollow noopener\" href=\"https:\/\/adnanthekhan.com\/2024\/01\/10\/cve-2023-49291-and-more-a-potential-actions-nightmare\/\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> D\u00e9tails d&#8217;une faille critique (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-49291\" target=\"_blank\">CVE-2023-49291<\/a>Score CVSS: 9.8) affectant les actions TJ \/ Files modifi\u00e9es et les noms TJ-Action \/ Branch qui pourraient ouvrir la voie \u00e0 l&#8217;ex\u00e9cution de code arbitraire.<\/p>\n<p>Le d\u00e9veloppement souligne une fois de plus comment les logiciels open source restent particuli\u00e8rement sensibles aux risques de la cha\u00eene d&#8217;approvisionnement, ce qui pourrait alors avoir de graves cons\u00e9quences pour plusieurs clients en aval \u00e0 la fois.<\/p>\n<p>&#8220;Depuis le 15 mars 2025, toutes les versions de TJ-Action \/ Files modifi\u00e9es se sont r\u00e9v\u00e9l\u00e9es affect\u00e9es, car l&#8217;attaquant a r\u00e9ussi \u00e0 modifier les \u00e9tiquettes de version existantes pour les faire pointer tous vers leur code malveillant&#8221;, Cloud Security Firm Wiz <a rel=\"noopener nofollow\" href=\"https:\/\/www.wiz.io\/blog\/github-action-tj-actions-changed-files-supply-chain-attack-cve-2025-30066\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Les clients qui utilisaient une version p\u00e9ch\u00e9e de hachage de TJ-Action \/ Files modifi\u00e9s ne seraient pas affect\u00e9s, \u00e0 moins qu&#8217;ils ne soient mis \u00e0 jour vers un hachage touch\u00e9 pendant le d\u00e9lai d&#8217;exploitation.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/github-action-compromise-puts-cicd.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 mars 2025\ue804Ravie LakshmananVuln\u00e9rabilit\u00e9 \/ s\u00e9curit\u00e9 du cloud Les chercheurs en cybers\u00e9curit\u00e9 attirent l&#8217;attention sur un incident au cours duquel les actions TJ-Action \/ changements populaires de GitHub ont \u00e9t\u00e9 compromises pour les secrets de fuite des r\u00e9f\u00e9rentiels en utilisant l&#8217;int\u00e9gration continue et le flux de travail de livraison continue (CI \/ CD). Le incident [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1582816,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,20350,79002,274264,4161,274263,6124,6310,1572,429,50438,65,274267,4955,4160,58986,5256,238617,246491,4172,79016,4166,4164],"class_list":["post-1582815","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-compromis","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-daction","tag-danger","tag-dans","tag-github","tag-les","tag-malware-ransomware","tag-met","tag-mises-a-jour-de-la-cybersecurite","tag-referentiels","tag-secrets","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1582815","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1582815"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1582815\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1582816"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1582815"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1582815"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1582815"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}