Il y a déjà plusieurs heures, le développeur TypeScript et activiste de la vie privée répondant au pseudonyme Resynth1943 a publié un billet dans lequel il affirmait que le code de GitHub avait fuité :« L'ensemble du code source du service d'hébergement de code utilisé par les développeurs, GitHub.com, vient d'être divulgué au public.
« Dans un commit suspect au sein du référentiel officiel GitHub DMCA, un individu inconnu a téléchargé le code source confidentiel, se faisant passer pour Nat Friedman en utilisant un bogue dans l'application de GitHub.
« Au cœur de l'open source, GitHub a longtemps été critiqué pour avoir gardé son code source privé. La plateforme héberge des millions de projets open source, et les critiques affirment que la position de GitHub est quelque peu hypocrite.
« Cependant, cela soulève des questions sur la sécurité du code source de GitHub et sur le fait que GitHub ait quelque chose à perdre ou non, s'ils prévoient de publier le code source dans un cadre public.
« Certains craignent que cela nuise à la sécurité globale de GitHub, et cela peut être vrai. Généralement, les applications à source fermée assurent la "sécurité par l'obscurité". Cela signifie que le code source est caché, dans le but de dissimuler les risques de sécurité.
« Depuis l'acquisition de GitHub par Microsoft en 2018, Microsoft a souligné à plusieurs reprises son "amour" pour l'open source. Nous l'avons vu à travers des publicités commerciales répétées, qui visent à placer Microsoft à l'avant-garde du développement open source.
« Certains utilisateurs, tels que Drew DeVault, suggèrent que Microsoft tente de centraliser l'open source. Grâce aux applications à source fermée et aux extensions propriétaires de Git, GitHub est considéré comme une plateforme qui tente de contenir l'open source. Un exemple de ceci est lorsque GitHub a été déconnecté pendant deux heures, laissant des milliers de projets open source inaccessibles et inutilisables.
« GitHub est, à bien des égards, le Google du développement open source.
« Peut-être que GitHub a eu 12 ans de retard pour finalement révéler son code source au public; et c'est peut-être exactement ce dont nous avons besoin ».
Resynth1943 semble être celui qui a annoncé la prétendue fuite du code source de GitHub par un inconnu sur un commit qui a été falsifié pour faire croire qu'il provenait du PDG de GitHub Nat Friedman. Peu de temps après qu'il ait diffusé cette annonce sur les réseaux sociaux, Nat Friedman a réagi pour apporter des éclaircissements.
Tout d'abord, Nat Friedman a démenti être l'auteur du commit. Il a également affirmé que GitHub n'a pas été piraté d'une quelconque manière. De plus, selon lui, le « code source divulgué » ne couvrait pas tout le code de GitHub, mais seulement le produit GitHub Enterprise Server. Bien que les deux partagent un volume considérable de code, la distinction est significative. Il s'agit d'une version de GitHub Enterprise que les entreprises peuvent faire fonctionner sur leurs propres serveurs sur site, au cas où elles auraient besoin de stocker le code source localement pour des raisons de sécurité, mais qu'elles souhaitent néanmoins bénéficier des fonctionnalités de GitHub Enterprise.
Bien que ni GitHub ni GitHub Enterprise Server ne soient du code open source, le code source de GitHub Enterprise Server est systématiquement expédié aux clients, bien entendu dans un format simplifié et obscurci. Selon Nat Friedman, GitHub a accidentellement fourni à certains clients une archive tar complète et non obscurcie de GitHub Enterprise Server il y a quelques mois; c'est le code qui a été sauvegardé dans le référentiel DMCA public de GitHub.
À en juger par le timing, il est probable que « l'individu inconnu » auquel fait allusion Resynth1943 ait téléchargé le code source en grande partie par colère à propos du récent retrait de Youtube-dl. En effet, la Recording Industry Association of America (RIAA), l’association interprofessionnelle de défense des intérêts de l'industrie du disque aux États-Unis, a émis une requête DMCA adressée à la plateforme GitHub pour violation des droits d'auteur ciblant Youtube-dl. La base de code qui sert de socle aux outils de téléchargement de vidéos sur diverses plateformes est désormais hors ligne depuis plusieurs jours. Un grand nombre de développeurs et d'utilisateurs en colère ont exprimé leur mécontentement en mettant à nouveau en ligne le code litigieux sur GitHub. Alors que Github affirme vouloir aider à restaurer l’outil de téléchargement du contenu multimédia sur YouTube, la plateforme a émis un avertissement selon lequel les comptes pourraient être supprimés s'ils se voyaient coupables de mettre en ligne du contenu qui a été retiré en raison des avis de retrait du DMCA.
Le code publié par « l'individu inconnu » a lui aussi été déposé dans le référentiel DMCA de GitHub, qui sert d'historique des demandes de retrait DMCA que GitHub a reçues, au fur et à mesure qu'il les reçoit, comme l'explique GitHub : « Inspiré par Lumen (anciennement Chilling Effects) et Google, ce dépôt contient le texte des avis de retrait et des contre-avis DMCA que nous avons reçus ici sur GitHub. Nous les publions au fur et à mesure de leur réception tout en supprimant uniquement les informations personnellement identifiables ».
GitHub n'a pas été « piraté ». L'occasion d'apporter plusieurs modifications ?
Le commit semblait provenir de l'utilisateur Nat (alias Nat Friedman, l'actuel PDG de GitHub). Tout comme le contenu du commit, cela est trompeur et peut induire en erreur. Notons que Git lui-même, le système de contrôle de version du code source sous-jacent à GitHub, ne protège pas de manière significative contre l'emprunt d'identité des utilisateurs. Le commit en question n'a pas été étiqueté comme étant « vérifié », ce qui signifie qu'il n'a pas été signé avec la clé GPG de Friedman.
La fuite de code source a disparu de GitHub lui-même très rapidement et n'est pas restée très longtemps sur web.archive.org
Comment l'usurpateur s'y serait pris ?
Les commits Git, tout comme les messages e-mails, permettent aux utilisateurs de mettre toutes les informations qui leur plaisent dans les champs user.name et user.email. Cela rend l'usurpation de ces informations triviale. À moins que le commit ne soit réellement signé avec une clé GPG associée à cette adresse e-mail, il n'y a pas de véritable vérification qu'il provient de là où il le devrait.
Reste alors à savoir comment un commit d'un utilisateur aléatoire apparaîtrait dans le référentiel DMCA de GitHub en premier lieu, mais la réponse n...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par phil995511
