{"id":796622,"date":"2023-06-22T19:04:28","date_gmt":"2023-06-22T21:04:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/alerte-un-million-de-referentiels-github-sont-probablement-vulnerables-a-une-attaque-de-repojacking\/"},"modified":"2023-06-22T19:04:32","modified_gmt":"2023-06-22T21:04:32","slug":"alerte-un-million-de-referentiels-github-sont-probablement-vulnerables-a-une-attaque-de-repojacking","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/alerte-un-million-de-referentiels-github-sont-probablement-vulnerables-a-une-attaque-de-repojacking\/","title":{"rendered":"Alerte\u00a0: un million de r\u00e9f\u00e9rentiels GitHub sont probablement vuln\u00e9rables \u00e0 une attaque de repojacking"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cha\u00eene d&#8217;approvisionnement \/ S\u00e9curit\u00e9 des logiciels<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des millions de d\u00e9p\u00f4ts de logiciels sur GitHub sont probablement vuln\u00e9rables \u00e0 une attaque appel\u00e9e <b>Repojacking<\/b>une nouvelle \u00e9tude a r\u00e9v\u00e9l\u00e9.<\/p>\n<p>Cela inclut des r\u00e9f\u00e9rentiels d&#8217;organisations telles que Google, Lyft et plusieurs autres, la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 native du cloud bas\u00e9e dans le Massachusetts Aqua <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/github-dataset-research-reveals-millions-potentially-vulnerable-to-repojacking\" target=\"_blank\">a dit<\/a> dans un rapport de mercredi.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 de la cha\u00eene d&#8217;approvisionnement, \u00e9galement connue sous le nom de d\u00e9tournement de r\u00e9f\u00e9rentiel de d\u00e9pendances, est une <a rel=\"nofollow noopener\" href=\"https:\/\/blog.securityinnovation.com\/repo-jacking-exploiting-the-dependency-supply-chain\" target=\"_blank\">classe d&#8217;attaques<\/a> qui permet de reprendre des organisations ou des noms d&#8217;utilisateurs \u00e0 la retraite et de publier des versions trojanis\u00e9es de r\u00e9f\u00e9rentiels pour ex\u00e9cuter du code malveillant.<\/p>\n<p>&#8220;Lorsqu&#8217;un propri\u00e9taire de r\u00e9f\u00e9rentiel change son nom d&#8217;utilisateur, un lien est cr\u00e9\u00e9 entre l&#8217;ancien nom et le nouveau nom pour quiconque t\u00e9l\u00e9charge des d\u00e9pendances \u00e0 partir de l&#8217;ancien r\u00e9f\u00e9rentiel&#8221;, ont d\u00e9clar\u00e9 les chercheurs Ilay Goldman et Yakir Kadkoda.  &#8220;Cependant, il est possible pour n&#8217;importe qui de cr\u00e9er l&#8217;ancien nom d&#8217;utilisateur et de rompre ce lien.&#8221;<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgJAjUQq6Q-jnCUYYsXW9S62xJXyCmVlxF__fI5R0hdBdqBD6x-3aAoH7eBcc_FJ1C5b7gUMEbhDvqoDNQli6GCY7zdtiROqBsEwJdQK0GJsddjJY20zaFbXObbbtlW838TLd_DI5fQQ-ug4-jw3mfW8-n6MUytcojduvyOtnjbOxtv7BM36WV4bPSbLQ\/s728-e200\/netspi-728-2.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Alternativement, un sc\u00e9nario similaire pourrait se produire lorsque la propri\u00e9t\u00e9 d&#8217;un r\u00e9f\u00e9rentiel est transf\u00e9r\u00e9e \u00e0 un autre utilisateur et que le compte d&#8217;origine est supprim\u00e9, permettant ainsi \u00e0 un acteur malveillant de cr\u00e9er un compte avec l&#8217;ancien nom d&#8217;utilisateur.<\/p>\n<p>Aqua a d\u00e9clar\u00e9 qu&#8217;un acteur de la menace pourrait exploiter des sites Web comme GHTorrent pour extraire les m\u00e9tadonn\u00e9es GitHub associ\u00e9es \u00e0 tout engagement public et tirer des demandes pour compiler une liste de r\u00e9f\u00e9rentiels uniques.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1687467868_227_Alerte-un-million-de-referentiels-GitHub-sont-probablement-vulnerables-a.jpg\" alt=\"\" border=\"0\" data-original-height=\"396\" data-original-width=\"728\"\/><\/div>\n<p>Une analyse d&#8217;un sous-ensemble de 1,25 million de r\u00e9f\u00e9rentiels pour le mois de juin 2019 a r\u00e9v\u00e9l\u00e9 que pas moins de 36 983 r\u00e9f\u00e9rentiels \u00e9taient vuln\u00e9rables au RepoJacking, ce qui d\u00e9note un taux de r\u00e9ussite de 2,95 %.<\/p>\n<p>Avec GitHub contenant <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/about\" target=\"_blank\">plus de 330 millions de r\u00e9f\u00e9rentiels<\/a>les r\u00e9sultats sugg\u00e8rent que des millions de r\u00e9f\u00e9rentiels pourraient \u00eatre vuln\u00e9rables \u00e0 une attaque similaire.<\/p>\n<p>L&#8217;un de ces r\u00e9f\u00e9rentiels est google\/mathsteps, qui appartenait auparavant \u00e0 Socratic (socraticorg\/mathsteps), une soci\u00e9t\u00e9 acquise par Google en 2018.<\/p>\n<p>&#8220;Lorsque vous acc\u00e9dez \u00e0 https:\/\/github.com\/socraticorg\/mathsteps, vous \u00eates redirig\u00e9 vers https:\/\/github.com\/google\/mathsteps afin que l&#8217;utilisateur finisse par r\u00e9cup\u00e9rer le r\u00e9f\u00e9rentiel de Google&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Cependant, comme l&#8217;organisation socraticorg \u00e9tait disponible, un attaquant pourrait ouvrir le r\u00e9f\u00e9rentiel socraticorg\/mathsteps et les utilisateurs suivant les instructions de Google cloneraient le r\u00e9f\u00e9rentiel de l&#8217;attaquant \u00e0 la place. Et \u00e0 cause de l&#8217;installation de npm, cela conduira \u00e0 l&#8217;ex\u00e9cution de code arbitraire sur les utilisateurs.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1687467868_368_Alerte-un-million-de-referentiels-GitHub-sont-probablement-vulnerables-a.jpg\" alt=\"\" border=\"0\" data-original-height=\"454\" data-original-width=\"728\"\/><\/div>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que de telles inqui\u00e9tudes sont soulev\u00e9es.  En octobre 2022, GitHub a d\u00e9cid\u00e9 de combler une faille de s\u00e9curit\u00e9 qui aurait pu \u00eatre exploit\u00e9e pour cr\u00e9er des r\u00e9f\u00e9rentiels malveillants et monter des attaques de la cha\u00eene d&#8217;approvisionnement en contournant le retrait de l&#8217;espace de noms de r\u00e9f\u00e9rentiel populaire.<\/p>\n<p>Pour att\u00e9nuer ces risques, il est recommand\u00e9 aux utilisateurs d&#8217;inspecter p\u00e9riodiquement leur code \u00e0 la recherche de liens susceptibles de r\u00e9cup\u00e9rer des ressources \u00e0 partir de r\u00e9f\u00e9rentiels GitHub externes.<\/p>\n<p>&#8220;Si vous changez le nom de votre organisation, assurez-vous que vous poss\u00e9dez toujours l&#8217;ancien nom, m\u00eame en tant qu&#8217;espace r\u00e9serv\u00e9, pour emp\u00eacher les attaquants de le cr\u00e9er&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/alert-million-of-github-repositories.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 juin 2023\ue804Ravie LakshmananCha\u00eene d&#8217;approvisionnement \/ S\u00e9curit\u00e9 des logiciels Des millions de d\u00e9p\u00f4ts de logiciels sur GitHub sont probablement vuln\u00e9rables \u00e0 une attaque appel\u00e9e Repojackingune nouvelle \u00e9tude a r\u00e9v\u00e9l\u00e9. Cela inclut des r\u00e9f\u00e9rentiels d&#8217;organisations telles que Google, Lyft et plusieurs autres, la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 native du cloud bas\u00e9e dans le Massachusetts Aqua a dit [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":796623,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4747,1933,4168,4158,4165,4161,50438,4157,4159,4171,4170,4167,358,4160,4163,4162,2746,58986,120962,4172,4169,317,196,4166,4164,4698],"class_list":["post-796622","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-alerte","tag-attaque","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-github","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-million","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-probablement","tag-referentiels","tag-repojacking","tag-securite-informatique","tag-securite-internet","tag-sont","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerables"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/796622","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=796622"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/796622\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/796623"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=796622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=796622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=796622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}