GitHub : exposition de clés de chiffrement privées

Le par  |  0 commentaire(s) Source : Ars Technica
GitHub-Octocat

La nouvelle fonctionnalité de recherche de GitHub a mis au jour l'hébergement de clés de chiffrement privées dans des dépôts publics.

À l'instar de SourceForge, GitHub est une plateforme d'hébergement et de gestion de développement de logiciels. Elle repose sur le logiciel libre Git de gestion de versions. Linus Torvalds a par exemple un compte GitHub pour le noyau Linux.

En début de semaine, le projet a annoncé une nouvelle fonctionnalité de recherche pour fouiller dans le code et s'appuyant sur un cluster ElasticSearch. Les résultats sont issus de dépôts publics et privés.

Cette recherche a permis de se rendre compte que des clés de chiffrement privées pour des projets sont mises en ligne et ainsi exposées à la vue de tous. Un chercheur en sécurité a par exemple identifié un " mot de passe SSH d'un serveur pour un site majeur en Chine ". Mais il existe d'autres cas.

github_logoSans que l'on ne sache si cela est en relation, la recherche sur GitHub souffre d'indisponibilité mais doit revenir très rapidement.

Ce problème de compromission de données sensibles n'est pas propre à GitHub et se retrouve avec d'autres forges.

Dans son aide, le projet explique que des utilisateurs peuvent accidentellement mettre en ligne des données comme des mots de passe ou des clés dans un dépôt git. Il est expliqué comment supprimer un fichier et purger l'historique en conséquence.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]