Des attaquants inconnus ont volé des certificats de signature de code cryptés pour les applications Desktop et Atom de GitHub après avoir eu accès à certains de ses dépôts de planification de développement et de publication. L’Américain révoque ces certificats et conseille des mises à jour.
« Le 7 décembre 2022, GitHub a détecté un accès non autorisé à un ensemble de référentiels utilisés dans la planification et le développement de GitHub Desktop et Atom. Après une enquête approfondie, nous avons conclu qu’il n’y avait aucun risque pour les services GitHub.com à la suite de cet accès non autorisé et aucune modification non autorisée n’a été apportée à ces projets« , explique l’éditeur américain sur son blog.
Un ensemble de certificats de signature de code cryptés a été exfiltré. Mais GitHub s’est empressé de préciser que les certificats étaient protégés par un mot de passe et qu’il n’a « aucune preuve d’utilisation malveillante« . Il a cependant pris la décision de révoquer les certificats exposés utilisés pour les applications GitHub Desktop et Atom. « La révocation de ces certificats invalidera certaines versions de GitHub Desktop pour Mac et Atom. Ces versions de GitHub Desktop pour Mac cesseront de fonctionner le 2 février » précise l’éditeur.
Il faut mettre à jour vers la dernière version de Desktop.
-
- 3.1.2
- 3.1.1
- 3.1.0
- 3.0.8
- 3.0.7
- 3.0.6
- 3.0.5
- 3.0.4
- 3.0.3
- 3.0.2
Pas d’impact en revanche sur GitHub Desktop pour Windows.
Ces versions d’Atom cesseront également de fonctionner le 2 février. Pour continuer à utiliser Atom, les utilisateurs devront télécharger une version précédente d’Atom.
1.63.1
1.63.0
