24 mars 2023Ravie LakshmananSécurité Cloud / Programmation

Le service d’hébergement de référentiel basé sur le cloud GitHub a déclaré avoir pris l’initiative de remplacer sa clé d’hôte RSA SSH utilisée pour sécuriser les opérations Git « par prudence » après qu’elle ait été brièvement exposée dans un référentiel public.

L’activité, qui a été menée à 05h00 UTC le 24 mars 2023, aurait été entreprise comme une mesure pour empêcher tout acteur malveillant de se faire passer pour le service ou d’écouter les opérations des utilisateurs via SSH.

« Cette clé n’accorde pas l’accès à l’infrastructure de GitHub ou aux données client », a déclaré Mike Hanley, directeur de la sécurité et SVP de l’ingénierie chez GitHub, a dit dans un poste. « Ce changement n’affecte que les opérations Git sur SSH utilisant RSA. »

Le déplacement n’affecte pas le trafic Web vers GitHub.com et les opérations Git effectuées via HTTPS. Aucune modification n’est requise pour les utilisateurs ECDSA ou Ed25519.

La société appartenant à Microsoft a déclaré qu’il n’y avait aucune preuve que la clé privée SSH exposée ait été exploitée par des adversaires.

Il a en outre souligné que « le problème n’était pas le résultat d’une compromission des systèmes GitHub ou des informations client ». Il l’a imputé à une « publication par inadvertance d’informations privées ».

Il a également noté que les utilisateurs de GitHub Actions peuvent voir des échecs d’exécution de flux de travail s’ils utilisent action/paiement avec l’option ssh-key, en ajoutant qu’il est en train de mettre à jour l’action sur toutes les balises.

La divulgation intervient près de deux mois après que GitHub a révélé que des acteurs inconnus de la menace avaient réussi à exfiltrer des certificats de signature de code chiffrés appartenant à certaines versions de GitHub Desktop pour les applications Mac et Atom.