Des utilisateurs de GitHub détenus en rançon en raison d'une douleur liée au texte en clair
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
La récente attaque contre les référentiels GitHub met en lumière un problème bien connu dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
Table des matières
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Ressources pour vous aider à démarrer
Secure Code Warrior named twice in the Gartner Hype Cycle for secure software engineering
Gartner names SCW twice. As AI agents take over more development, SCW gives you the capability and governance to adopt AI-driven development securely.
Secure coding learning that reflects real AI usage
Align secure coding training to real AI development activity — automatically assigning guidance to developers using AI tools, without manual intervention.Align secure coding training to real AI development activity — automatically assigning guidance to developers using AI tools, without manual intervention.
Train developers on the real risks in their code, whether human-written or AI-generated
Adaptive Learning auto-assigns targeted secure coding training to the developers introducing real vulnerabilities, reducing recurring risks at the source.Secure Code Warrior blog banner with a blue overlay over a developer working at a multi-monitor desk displaying code, alongside the headline 'Train developers on the real risks in their code.'l