La célèbre plateforme de développement open source GitHub, rachetée par Microsoft en 2018, a récemment affirmé que des attaquants inconnus ont volé des certificats de signature de code cryptés pour ses applications Desktop et Atom après avoir eu accès à certains de ses dépôts de planification de développement et de publication.
Pour l’instant, GitHub n’a trouvé aucune preuve que les certificats protégés par mot de passe (un certificat Apple Developer ID et deux certificats de signature de code Digicert utilisés pour les applications Windows) ont été utilisés à des fins malveillantes. « GitHub est extrêmement précieux pour les développeurs : plus de 100 millions de développeurs utilisent la plateforme et le Fortune 500 et tous les grands développeurs de logiciels de Microsoft à Google s’y fient. Il n’est pas surprenant que ce soit devenu un point de mire pour les attaquants aussi. Des auteurs de menaces inconnus ont volé des identités machines à signer des codes après avoir eu accès à certains de ses dépôts de développement et de planification des diffusions. Cela permet aux attaquants de masquer leur logiciel comme venant de GitHub « , explique Kevin Bocek, VP Security Strategy and Threat Intelligence chez Venafi.
Rappelons qu’en 2018, Microsoft marquait les esprits et, surtout, son entrée dans le monde du logiciel libre, en rachetant la plateforme 7,5 milliards de dollars.
La gestion de l’identité machine n’est plus optionnelle
Pour Kevin Bocek, entre de mauvaises mains, ces identités machine pourraient être utilisées facilement, permettant à un attaquant de signer et d’envoyer du contenu malveillant qui sera authentifié par d’autres machines comme venant de GitHub. Il s’agit d’une arme puissante qui peut permettre des attaques de la chaîne d’approvisionnement sur d’autres développeurs de logiciels et d’éventuelles attaques subséquentes (ou passées) inconnues. « Cela est un exemple de plus sur la façon dont les équipes d’ingénierie qui se déplaçent rapidement peuvent créer de nouvelles opportunités d’attaque. La gestion de l’identité machine n’est plus optionnelle, alerte l’expert de Venafi. Les identités machine de signature de code ne peuvent pas être laissées sans surveillance, avec une observabilité et un contrôle constant. La capacité de trouver et de réémettre rapidement les identités machines est impossible à faire manuellement. Pour se prémunir contre de tels événements, de plus en plus courants, les équipes d’ingénierie de sécurité doivent déployer un plan de contrôle pour automatiser la gestion de l’identité machines. Ce faisant, ils protègent continuellement les identités machines contre le vol et évitent la rotation manuelle, le remplacement et la révocation qui ralentissent les équipes d’ingénierie et conduisent à des raccourcis qui créent des brèches ».
Hélène Saire
