{"id":440775,"date":"2022-10-31T21:08:29","date_gmt":"2022-10-31T23:08:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-bogue-de-repojacking-de-github-aurait-pu-permettre-aux-attaquants-de-prendre-le-controle-des-referentiels-dautres-utilisateurs\/"},"modified":"2022-10-31T21:08:30","modified_gmt":"2022-10-31T23:08:30","slug":"le-bogue-de-repojacking-de-github-aurait-pu-permettre-aux-attaquants-de-prendre-le-controle-des-referentiels-dautres-utilisateurs","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-bogue-de-repojacking-de-github-aurait-pu-permettre-aux-attaquants-de-prendre-le-controle-des-referentiels-dautres-utilisateurs\/","title":{"rendered":"Le bogue de repojacking de GitHub aurait pu permettre aux attaquants de prendre le contr\u00f4le des r\u00e9f\u00e9rentiels d&#8217;autres utilisateurs"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le service d&#8217;h\u00e9bergement de r\u00e9f\u00e9rentiels bas\u00e9 sur le cloud GitHub a corrig\u00e9 une faille de s\u00e9curit\u00e9 tr\u00e8s grave qui aurait pu \u00eatre exploit\u00e9e pour cr\u00e9er des r\u00e9f\u00e9rentiels malveillants et monter des attaques sur la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>La <b>Repojacking<\/b> technique, <a rel=\"nofollow noopener\" href=\"https:\/\/checkmarx.com\/blog\/attacking-the-software-supply-chain-with-a-simple-rename\/\" target=\"_blank\">divulgu\u00e9<\/a> par Checkmarx, implique un contournement d&#8217;un m\u00e9canisme de protection appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.blog\/2018-04-18-new-tools-for-open-source-maintainers\/#popular-repository-namespace-retirement\" target=\"_blank\">retrait populaire de l&#8217;espace de noms du r\u00e9f\u00e9rentiel<\/a>qui vise \u00e0 emp\u00eacher les d\u00e9veloppeurs d&#8217;extraire des r\u00e9f\u00e9rentiels dangereux portant le m\u00eame nom.<\/p>\n<p>Le probl\u00e8me a \u00e9t\u00e9 r\u00e9solu par la filiale appartenant \u00e0 Microsoft le 19 septembre 2022 \u00e0 la suite d&#8217;une divulgation responsable.<\/p>\n<p>Le repojacking se produit lorsqu&#8217;un cr\u00e9ateur d&#8217;un r\u00e9f\u00e9rentiel choisit de modifier le nom d&#8217;utilisateur, ce qui permet potentiellement \u00e0 un acteur malveillant de revendiquer l&#8217;ancien nom d&#8217;utilisateur et de publier un r\u00e9f\u00e9rentiel malveillant portant le m\u00eame nom dans le but d&#8217;inciter les utilisateurs \u00e0 les t\u00e9l\u00e9charger.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Bug de repojacking GitHub\" border=\"0\" data-original-height=\"283\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1667257709_503_Le-bogue-de-repojacking-de-GitHub-aurait-pu-permettre-aux.jpg\" title=\"Bug de repojacking GitHub\" \/><\/div>\n<p>Alors que la contre-mesure de Microsoft &#8220;retire[s] l&#8217;espace de noms de tout projet open source qui avait plus de 100 clones dans la semaine pr\u00e9c\u00e9dant le changement de nom ou la suppression du compte du propri\u00e9taire&#8221;, Checkmarx a d\u00e9couvert que cela pouvait \u00eatre contourn\u00e9 par le &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/docs.github.com\/en\/repositories\/creating-and-managing-repositories\/transferring-a-repository\" target=\"_blank\">transfert de r\u00e9f\u00e9rentiel<\/a>&#8221; caract\u00e9ristique.<\/p>\n<p>La fa\u00e7on dont cela fonctionne est la suivante &#8211;<\/p>\n<ul>\n<li>Un acteur malveillant cr\u00e9e un r\u00e9f\u00e9rentiel portant le m\u00eame nom que le r\u00e9f\u00e9rentiel retir\u00e9 (par exemple, \u00ab\u00a0d\u00e9p\u00f4t\u00a0\u00bb) appartenant \u00e0 un utilisateur nomm\u00e9 \u00ab\u00a0victime\u00a0\u00bb mais sous un nom d&#8217;utilisateur diff\u00e9rent (par exemple, \u00ab\u00a0helper\u00a0\u00bb)<\/li>\n<li>&#8220;helper&#8221; transf\u00e8re la propri\u00e9t\u00e9 de &#8220;repo&#8221; \u00e0 un deuxi\u00e8me compte avec le nom d&#8217;utilisateur &#8220;attaquant&#8221;<\/li>\n<li>&#8220;attaquant&#8221; renomme le nom d&#8217;utilisateur du compte en &#8220;victime&#8221;<\/li>\n<li>L&#8217;espace de noms &#8220;victim\/repo&#8221; est maintenant sous le contr\u00f4le de l&#8217;adversaire<\/li>\n<\/ul>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEglTybVbyQ3y6xCIxW9BIpqhgWBf_IhNgCo44HrgwUeYVi_GwvasznH93LLdkqJLwdp4DUkFkILg6m3WDgkue7MFxmbzFxmTBe7-pukEjyvUZ3j9yGyBcL2yUAZVFSQkjSric7YYfU8WgwHwYsS2-3wZ1zLQDAqgkoEpk5kZsbUuyh0UlV8nq7PplYEgQ\/s1600\/banners-crowdsec-728.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>En d&#8217;autres termes, l&#8217;attaque repose sur la bizarrerie que GitHub consid\u00e8re uniquement comme retir\u00e9e de l&#8217;espace de noms, c&#8217;est-\u00e0-dire la combinaison du nom d&#8217;utilisateur et du nom du r\u00e9f\u00e9rentiel, permettant \u00e0 un acteur malveillant de r\u00e9utiliser le nom du r\u00e9f\u00e9rentiel en conjonction avec un nom d&#8217;utilisateur arbitraire.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Bug de repojacking GitHub\" border=\"0\" data-original-height=\"213\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhMA1oe87rpU9KqFf6ECSaUApgd9b7mBWtNyoZbbLU2unzRye5NBj4R-nr_7LMIY0ksFlzxnTd51BbIOkLoU1hLNGUpegEspFHtkheOOmLnky9EAEOoMXiOUS217ZsQnMtmM9X558bJTujXSUInzMXHk5TIjG8eTBT1jLNuMJadvMpWOppln9A1mI1Z\/s728-e1000\/patch.jpg\" title=\"Bug de repojacking GitHub\" \/><\/div>\n<p>Une r\u00e9ussite <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/checkmarx\/chainjacking\" target=\"_blank\">exploitation<\/a> aurait pu effectivement permettre aux attaquants de pousser des r\u00e9f\u00e9rentiels empoisonn\u00e9s, exposant les noms d&#8217;utilisateur renomm\u00e9s au risque d&#8217;\u00eatre victimes d&#8217;attaques de la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>&#8220;S&#8217;ils n&#8217;\u00e9taient pas explicitement pris en charge, tous les noms d&#8217;utilisateur renomm\u00e9s sur GitHub \u00e9taient vuln\u00e9rables \u00e0 cette faille, y compris plus de 10 000 packages sur les gestionnaires de packages Go, Swift et Packagist&#8221;, a d\u00e9clar\u00e9 Aviad Gershon, chercheur chez Checkmarx.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/github-repojacking-bug-couldve-allowed.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le service d&#8217;h\u00e9bergement de r\u00e9f\u00e9rentiels bas\u00e9 sur le cloud GitHub a corrig\u00e9 une faille de s\u00e9curit\u00e9 tr\u00e8s grave qui aurait pu \u00eatre exploit\u00e9e pour cr\u00e9er des r\u00e9f\u00e9rentiels malveillants et monter des attaques sur la cha\u00eene d&#8217;approvisionnement. La Repojacking technique, divulgu\u00e9 par Checkmarx, implique un contournement d&#8217;un m\u00e9canisme de protection appel\u00e9 retrait populaire de l&#8217;espace de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":440776,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[11865,2514,507,6813,4168,3976,4158,4165,4161,4114,133,50438,4157,4159,4171,4170,4167,4160,4163,4162,5848,3086,58986,120962,4172,4169,7529,4166,4164],"class_list":["post-440775","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaquants","tag-aurait","tag-aux","tag-bogue","tag-comment-pirater","tag-controle","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dautres","tag-des","tag-github","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-permettre","tag-prendre","tag-referentiels","tag-repojacking","tag-securite-informatique","tag-securite-internet","tag-utilisateurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/440775","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=440775"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/440775\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/440776"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=440775"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=440775"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=440775"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}