GitHub annonce que des pirates ont volé des données dans des milliers de dépôts internes
GitHub, la plus grande plateforme d'hébergement de code au monde, détenue par Microsoft, a annoncé mardi enquêter sur une violation de cybersécurité. L'entreprise a confirmé que des pirates ont exfiltré des données de milliers de dépôts internes de GitHub, tout en soulignant qu'il n'y a aucune preuve d'accès au code client ni aux bases de données clients.
L'équipe Information Security de GitHub a détecté la violation pour la première fois le matin du 17 mai. Des schémas de trafic réseau inhabituels ont été signalés par les systèmes de surveillance automatisés. L'examen préliminaire a établi que l'attaquant avait obtenu un accès non autorisé aux propres serveurs internes GitHub Enterprise de GitHub.
Le Chief Security Officer de GitHub, Mike Hanley, a écrit dans un billet de blog : « L'attaquant a copié du code source, de la documentation interne et un certain nombre de scripts de build à partir de milliers de dépôts de notre côté interne. Le point le plus important que nous souhaitons souligner : il n'y a aucune preuve d'accès aux dépôts clients, aux informations de compte client ou aux secrets SDK utilisés pour exécuter GitHub Actions. »
La portée de la violation fait actuellement l'objet d'enquêtes. Les dépôts internes affectés incluent le code de la plateforme web, le code source de l'application mobile, la documentation, l'outillage interne et l'architecture des prompts de l'assistant AI Copilot. Selon GitHub, le code de Microsoft Azure ou de Windows n'entre pas dans le cadre de cette violation — les propres instances internes GitHub Enterprise de Microsoft sont hébergées sur une infrastructure différente.
Les experts en cybersécurité s'interrogent sur l'importance de cette violation. Le code propre de GitHub ne contribuait pas à l'open source, mais certains scripts de build et outils de test pourraient constituer une information précieuse pour les concurrents. Des aperçus architecturaux pourraient simplifier la compréhension du fonctionnement de GitHub ; cela pourrait indirectement affecter la sécurité des clients.
La source de l'attaque n'a pas encore été identifiée. L'équipe GitHub Threat Intelligence n'a pas désigné de types d'acteurs spécifiques comme les acteurs étatiques russes ou chinois. Mais la nature sophistiquée de la violation et la sélection des cibles suscitent la suspicion d'un groupe soutenu par un État. Les signatures techniques de l'attaque deviendront plus claires aux stades ultérieurs de l'enquête.
GitHub a annoncé qu'il avait immédiatement informé les forces de l'ordre fédérales et travaillait avec le FBI. Le Microsoft Security Response Center (MSRC) est également impliqué dans l'incident. Les identifiants et clés API des dépôts affectés ont été révoqués et renouvelés à titre conservatoire.
À titre de précaution pour les clients, GitHub recommande à tous les utilisateurs de s'assurer que l'authentification à deux facteurs (2FA) est activée. Les développeurs utilisant des Personal Access Tokens sont invités à les renouveler. Les clients GitHub Enterprise sont invités à examiner les journaux d'audit des adresses IP externes.
L'impact de la violation sur le cours de l'action GitHub est limité car GitHub n'est pas une société cotée séparée — Microsoft a acheté GitHub pour 7,5 milliards de dollars en 2018. L'action Microsoft a chuté de 1,2 % avant l'ouverture du marché mercredi suite à la publication de la violation.
Dans l'ensemble, la communauté de la cybersécurité a salué la transparence de GitHub lors de la divulgation de l'incident. Selon le rapport annuel Data Breach Investigations Report de Verizon, les organisations mettent généralement en moyenne 56 jours pour divulguer une violation ; GitHub rendant l'incident public dans les trois jours, c'est bien en dessous de la moyenne du secteur. L'événement est un sérieux signal d'alarme pour l'hébergement de code en entreprise ; des risques similaires s'appliquent à GitLab, Bitbucket et autres plateformes.