{"id":201146,"date":"2022-06-14T09:09:59","date_gmt":"2022-06-14T11:09:59","guid":{"rendered":"https:\/\/teknomers.com\/fr\/un-bogue-de-lapi-travis-ci-non-corrige-expose-des-milliers-de-jetons-dacces-utilisateur-secrets\/"},"modified":"2022-06-14T09:09:59","modified_gmt":"2022-06-14T11:09:59","slug":"un-bogue-de-lapi-travis-ci-non-corrige-expose-des-milliers-de-jetons-dacces-utilisateur-secrets","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/un-bogue-de-lapi-travis-ci-non-corrige-expose-des-milliers-de-jetons-dacces-utilisateur-secrets\/","title":{"rendered":"Un bogue de l&#8217;API Travis CI non corrig\u00e9 expose des milliers de jetons d&#8217;acc\u00e8s utilisateur secrets"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un probl\u00e8me de s\u00e9curit\u00e9 non corrig\u00e9 dans l&#8217;API Travis CI a laiss\u00e9 des dizaines de milliers de jetons d&#8217;utilisateurs de d\u00e9veloppeurs expos\u00e9s \u00e0 des attaques potentielles, permettant ainsi aux pirates de p\u00e9n\u00e9trer dans les infrastructures cloud, d&#8217;apporter des modifications de code non autoris\u00e9es et de lancer des attaques sur la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>&#8220;Plus de 770 millions de journaux d&#8217;utilisateurs de niveau gratuit sont disponibles, \u00e0 partir desquels vous pouvez facilement extraire des jetons, des secrets et d&#8217;autres informations d&#8217;identification associ\u00e9s \u00e0 des fournisseurs de services cloud populaires tels que GitHub, AWS et Docker Hub&#8221;, ont d\u00e9clar\u00e9 des chercheurs de la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud Aqua. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/travis-ci-security\" target=\"_blank\">a dit<\/a> dans un rapport du lundi.<\/p>\n<p>Travis CI est un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/CI\/CD\" target=\"_blank\">Int\u00e9gration continue<\/a> service utilis\u00e9 pour cr\u00e9er et tester des projets logiciels h\u00e9berg\u00e9s sur des plates-formes de r\u00e9f\u00e9rentiel cloud telles que GitHub et Bitbucket.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-gitlab\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Fronton-un-botnet-IoT-russe-concu-pour-mener-des-campagnes.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Le probl\u00e8me, pr\u00e9c\u00e9demment signal\u00e9 en 2015 et <a rel=\"nofollow noopener\" href=\"https:\/\/edoverflow.com\/2019\/ci-knew-there-would-be-bugs-here\/\" target=\"_blank\">2019<\/a>s&#8217;enracine dans le fait que <a rel=\"nofollow noopener\" href=\"https:\/\/developer.travis-ci.com\/resource\/log\" target=\"_blank\">API<\/a> permet l&#8217;acc\u00e8s aux journaux historiques au format texte clair, permettant m\u00eame \u00e0 une partie malveillante de &#8220;r\u00e9cup\u00e9rer les journaux qui n&#8217;\u00e9taient auparavant pas disponibles via l&#8217;API&#8221;.<\/p>\n<p>Les journaux remontent jusqu&#8217;en janvier 2013 et jusqu&#8217;en mai 2022, allant des num\u00e9ros de journal 4 280 000 \u00e0 774 807 924, qui sont utilis\u00e9s pour r\u00e9cup\u00e9rer un journal en texte clair unique via l&#8217;API.<\/p>\n<p>De plus, une analyse plus approfondie de 20 000 journaux a r\u00e9v\u00e9l\u00e9 jusqu&#8217;\u00e0 73 000 jetons, cl\u00e9s d&#8217;acc\u00e8s et autres informations d&#8217;identification associ\u00e9es \u00e0 divers services cloud tels que GitHub, AWS et Docker Hub.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Jetons d'acc\u00e8s utilisateur\" border=\"0\" data-original-height=\"653\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1655204998_736_Un-bogue-de-lAPI-Travis-CI-non-corrige-expose-des.jpg\" title=\"Jetons d'acc\u00e8s utilisateur\" \/><\/div>\n<p>Ceci malgr\u00e9 les tentatives de Travis CI de <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/en-in\/learning\/bots\/what-is-rate-limiting\" target=\"_blank\">limiter le d\u00e9bit de l&#8217;API<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/docs.travis-ci.com\/user\/best-practices-security\/\" target=\"_blank\">filtrer automatiquement<\/a> s\u00e9curiser les variables d&#8217;environnement et les jetons des journaux de construction en affichant la cha\u00eene &#8220;[secure]&#8221; \u00e0 leur place.<\/p>\n<p>L&#8217;une des informations essentielles est que si &#8220;github_token&#8221; \u00e9tait obscurci, 20 autres variantes de ce jeton qui suivaient une convention de d\u00e9nomination diff\u00e9rente &#8211; y compris github_secret, gh_token, github_api_key et github_secret &#8211; n&#8217;\u00e9taient pas masqu\u00e9es par Travis CI.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Travis CI a ralenti la vitesse des appels d&#8217;API, ce qui entrave la capacit\u00e9 d&#8217;interroger l&#8217;API&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Dans ce cas, cependant, cela ne suffisait pas. Un acteur qualifi\u00e9 de la menace peut trouver une solution de contournement pour contourner cela.&#8221;<\/p>\n<p>&#8220;Cependant, la combinaison de la facilit\u00e9 d&#8217;acc\u00e8s aux journaux via l&#8217;API, d&#8217;une censure incompl\u00e8te, de l&#8217;acc\u00e8s aux journaux &#8220;restreints&#8221; et d&#8217;un processus faible de limitation du d\u00e9bit et de blocage de l&#8217;acc\u00e8s \u00e0 l&#8217;API, associ\u00e9e \u00e0 un grand nombre de journaux potentiellement expos\u00e9s, entra\u00eene un situation critique.&#8221;<\/p>\n<p>Travis CI, en r\u00e9ponse aux conclusions, a d\u00e9clar\u00e9 que le probl\u00e8me est &#8220;par conception&#8221;, ce qui oblige les utilisateurs \u00e0 suivre les meilleures pratiques pour \u00e9viter de divulguer des secrets dans les journaux de construction et \u00e0 faire pivoter p\u00e9riodiquement les jetons et les secrets.<\/p>\n<p>Les r\u00e9sultats sont particuli\u00e8rement significatifs \u00e0 la suite d&#8217;une campagne d&#8217;attaque d&#8217;avril 2022 qui a exploit\u00e9 des jetons d&#8217;utilisateur OAuth vol\u00e9s d\u00e9livr\u00e9s \u00e0 Heroku et Travis CI pour intensifier l&#8217;acc\u00e8s \u00e0 l&#8217;infrastructure NPM et cloner certains r\u00e9f\u00e9rentiels priv\u00e9s.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/unpatched-travis-ci-api-bug-exposes.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un probl\u00e8me de s\u00e9curit\u00e9 non corrig\u00e9 dans l&#8217;API Travis CI a laiss\u00e9 des dizaines de milliers de jetons d&#8217;utilisateurs de d\u00e9veloppeurs expos\u00e9s \u00e0 des attaques potentielles, permettant ainsi aux pirates de p\u00e9n\u00e9trer dans les infrastructures cloud, d&#8217;apporter des modifications de code non autoris\u00e9es et de lancer des attaques sur la cha\u00eene d&#8217;approvisionnement. &#8220;Plus de 770 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":201147,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[6813,4168,6815,4158,4165,4161,7192,133,16209,50440,4157,4159,4171,4170,10786,4167,1558,4160,4163,4162,5256,4172,4169,18932,1730,4166,4164],"class_list":["post-201146","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-bogue","tag-comment-pirater","tag-corrige","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dacces","tag-des","tag-expose","tag-jetons","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lapi","tag-logiciel-malveillant-de-ransomware","tag-milliers","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-secrets","tag-securite-informatique","tag-securite-internet","tag-travis","tag-utilisateur","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/201146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=201146"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/201146\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/201147"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=201146"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=201146"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=201146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}