Le site de codage social GitHub, était jusqu'à lors connu comme un site de dépôt sécurisé des codes des logiciels open source. Les programmeurs y vont le plus souvent pour héberger codes à l'appui leurs logiciels afin d'assurer l’inter-échange dans la communauté des développeurs. Cependant, un bogue récemment révélé, exposerait les mots de passe des comptes utilisateurs de la plateforme.
La vulnérabilité a été signalée par GitHub. Le bogue serait au niveau de la fonction de réinitialisation du mot de passe. Cette fonction, selon GitHub, permettrait aux mots de passe des utilisateurs de se retrouver dans les mains des personnes non habilitées. Le site rappelle néanmoins que ces mots de passe ne sont visibles que par une poignet réduite de personnes. Ils n'ont pas été rendus publics ou mis à la disposition d'autres utilisateurs, ajoute la plateforme.
GitHub souligne qu'ils n'ont pas été victime d'une attaque. Plutôt que la vulnérabilité aurait été découverte lors d'un audit régulier du site et n'affecterait que les utilisateurs qui ont récemment réinitialisé leurs mots de passe. GitHub rappelle qu'ils stockent les mots de passe des utilisateurs avec des algorithmes de hachages cryptographiques sécurisés (bcrypt). « Nous utilisons des méthodes cryptographiques modernes pour garantir que les mots de passe sont stockés en toute sécurité dans nos bases de données », déclarent-ils.
Le site référentiel de code, avec plus de 27 millions d'utilisateurs en date de l'année dernière, aurait informé ses utilisateurs de ce bogue via un e-mail. Le site recommande donc fortement de mettre à jour votre mot de passe si vous avez reçu l'e-mail. Voici ci-dessous un extrait du contenu de l'e-mail de Github à ses utilisateurs.
GitHub dit avoir corriger le bogue. Pour retrouver l'accès au compte, il faudra réinitialiser le mot de passe, ajoute Github. Les attaques évoluent souvent et nous continuons d'étudier et de surveiller de nouveaux vecteurs d'attaques, déclare-t-il.
Source : GitHub Blog, The Daily Dot
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
GitHub : des chercheurs estiment que plus de la moitié des codes écrits en Java, Python, C/C++ et JavaScript, sont dupliqués
GitHub survit à la plus grosse attaque par déni de service distribué jamais enregistrée, et menée sans réseau de zombies
GitHub utilisé par des acteurs malveillants pour héberger un mineur de moneros, distribué au travers d'une campagne publicitaire
GitHub découvre un bogue qui expose certains mots de passe en texte clair
Le problème viendrait de la fonction de réinitialisation du mot de passe
GitHub découvre un bogue qui expose certains mots de passe en texte clair
Le problème viendrait de la fonction de réinitialisation du mot de passe
Le , par Blondelle Mélina
Une erreur dans cette actualité ? Signalez-nous-la !