Les référentiels GitHub sont-ils à l’abri du piratage ?
Dans les référentiels GitHub se trouvent des secrets très importants pour les entreprises. Ils sont destinés à être cachés et protégés contre les pirates et autres voleurs qui voudraient voler ces informations, afin de les revendre.
Dans quelle mesure ces secrets sont-ils sûrs ? Il y a un an, un pirate nommé Shiny Hunters a affirmé avoir volé 500 Go de données sur GitHuB de Microsoft. Voici l’histoire qui montre à quel point il est important pour les entreprises de s’assurer que leur GitHub est une forteresse inaccessible.
Une préoccupation à laquelle il faut répondre
La violation de données est un problème sérieux pour les entreprises depuis quelques années maintenant, mais dont on ne parle pas tellement au grand jour ; presque comme si le sujet était tabou. En fait, de nombreuses entreprises ont adopté la stratégie de croiser les doigts, espérant que leurs secrets le resteraient. Une attitude étrange quand on sait qu’il existe aujourd’hui des outils, comme GitHub Security Scan, qui permettent d’analyser les référentiels publics et privés, afin de s’assurer qu’il n’y a pas de trous qui pourraient conduire à des fuites potentielles.
Ces violations peuvent coûter très cher, car les pirates font ensuite chanter l’entreprise pour qu’elle la rachète. S’ils le font, ils ne seront jamais sûrs que les pirates ne vendront pas les informations de toute façon. C’est bien ce qu’ils font, en l’amenant sur le marché noir. Ils peuvent vendre rapidement et à un grand nombre de personnes, causant des problèmes qui ne peuvent être résolus par la suite.
500 Go de données des référentiels privés GitHub de Microsoft auraient été volés
En mai 2020, un pirate appelé Shiny Hunters a affirmé avoir volé 500 Go de données sur le référentiel GitHub de Microsoft. Cette entrée dans un accès aussi restreint fut l’une des plus importantes de tous les temps. Son objectif initial était de se tourner vers le marché noir afin de vendre ces informations. Mais après avoir analysé les données qu’il avait volées, il a changé d’avis et les a rendues publiques, gratuitement. Il n’a pas fallu longtemps pour que l’authenticité des données soit contestée. Mais en fin de compte, la plupart ont convenu que les informations fournies provenaient très probablement du référentiel Microsoft GitHub, mais n’avaient aucune importance. La plupart d’entre eux étaient en chinois, et ils semblent être liés à des projets qui n’ont jamais été lancés par l’entreprise.
Cependant, ce que montre cette histoire, c’est que même des géants comme Microsoft peuvent être piratés via leur référentiel GitHub. Cela soulève la question : pourquoi une entreprise ayant des informations à protéger, dans un tel endroit, n’utiliserait-elle pas une analyse GitHub, pour s’assurer que les leurs sont en sécurité ? Si tel est votre cas, j’espère que cette histoire vous aura fait changer d’avis, avant que votre référentiel GitHub ne soit piraté.