Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Suite à un « bug », GitHub a enregistré des mots de passe en clair dans ses logs

123456Password!
Internet 3 min
Suite à un « bug », GitHub a enregistré des mots de passe en clair dans ses logs

Plusieurs utilisateurs, dont celui de VeraCrypt, ont reçu un courrier de GitHub les invitant à changer leur mot de passe. En cause, un « bug » provoquant son enregistrement en clair dans les logs de la société. Les risques sont faibles, mais une réinitialisation des mots de passe concernés a été mise en place.

Une des règles de base concernant les mots de passe est de ne stocker qu'une empreinte (hash), comme le rappelait encore récemment la CNIL : « Le mot de passe ne doit jamais être stocké en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».

Si dans un monde parfait tout le monde est censé respecter cette règle, des plus basiques rappelons-le, le récent cas des Échos nous rappelle que même en 2018, ce n'est pas toujours le cas. La situation de GitHub est néanmoins différente, même si des mots de passe se sont quand même retrouvés stockés en clair sur ses serveurs.

Pas de fuite de données affirme GitHub

La plateforme a en effet envoyé des e-mails à certains de ses utilisateurs leur demandant de modifier leur mot de passe car, « au cours d'un audit de routine, GitHub a découvert qu'un bug introduit récemment exposait un petit nombre de mots de passe d'utilisateurs à nos logs internes », comme le rapport Bleeping Computer. Ce « bug », pour reprendre la formulation de l'entreprise, se produisait lorsqu'une demande de réinitialisation était lancée par un utilisateur.

Malgré tout, « GitHub stocke les mots de passe des utilisateurs avec des hachages cryptographiques sécurisés (bcrypt) » déclare la société, pour rassurer ses utilisateurs. Elle ajoute que les mots de passe en clair n'étaient accessibles ni au public, ni aux autres utilisateurs de GitHub, ni à la majorité des employés de la société. Néanmoins, « il est très improbable qu'un membre du personnel ait accédé à ces journaux » précise GitHub.

Changement de mot de passe obligatoire pour les comptes concernés

Le souci a été corrigé dans la foulée, mais les utilisateurs concernés doivent changer leur mot de passe par mesure de sécurité. « GitHub n'a pas été piraté ou compromis de quelque façon que ce soit » ajoute la société en guise de conclusion.

Parmi les « victimes » se trouve l'outil de chiffrement VeraCrypt (lire nos différents guides). Son développeur, Mounir Idrassi, se veut néanmoins rassurant : « Aucun accès frauduleux au dépôt n'a été trouvé. Nous utilisons une identification à deux facteurs, une clé SSH et la signature GPG pour les commits, le risque est donc faible ».

Nous avons contacté GitHub afin d'avoir de plus amples informations (notamment sur le nombre de personnes concernées et la durée du « bug »), sans réponse pour le moment. Certains de nos confrères américains ont également essayé de contacter la plateforme, également sans succès.

Comme toujours lorsqu'il s'agit de choisir un mot de passe, il est important de respecter certaines règles. Vous pouvez aussi utiliser un gestionnaire pour les retenir à votre place.

38 commentaires
Avatar de versgui Abonné
Avatar de versguiversgui- 02/05/18 à 16:37:45

Signaler ce commentaire aux modérateurs :

C'est honorable de prévenir les clients INpactés, combien d'entreprises préfèrent garder ce genre d'erreur sous silence ?

Avatar de gavroche69 Abonné
Avatar de gavroche69gavroche69- 02/05/18 à 16:59:28

Signaler ce commentaire aux modérateurs :

Comment avez vous osé vous servir de mon mot de passe dans votre sous-titre ?
C'est un scandale !!

Avatar de tazvld Abonné
Avatar de tazvldtazvld- 02/05/18 à 17:17:51

Signaler ce commentaire aux modérateurs :

Utilise un vrai mot de passe comme &aqwézsx ou même pire 1AQW2ZSX, impossible à trouver.

Avatar de gavroche69 Abonné
Avatar de gavroche69gavroche69- 02/05/18 à 17:27:23

Signaler ce commentaire aux modérateurs :

tazvld a écrit :

Utilise un vrai mot de passe comme &aqwézsx ou même pire 1AQW2ZSX, impossible à trouver.

Je vois que Monsieur aime les diagonales...

Édité par gavroche69 le 02/05/2018 à 17:27
Avatar de Amabaka Abonné
Avatar de AmabakaAmabaka- 02/05/18 à 17:42:28

Signaler ce commentaire aux modérateurs :

Mais c'est bon, on est protégé par l'exception française. Ça ne correspond pas à la diagonale sur un clavier QWERTY

Édité par Amabaka le 02/05/2018 à 17:42
Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 02/05/18 à 18:41:36

Signaler ce commentaire aux modérateurs :

Ce « bug », pour reprendre la formulation de l'entreprise, se
produisait lorsqu'une demande de réinitialisation était lancée par un
utilisateur.

Ca tombe bien, la plupart des gens conservent le même mot de passe pendant des années, sans jamais le réinitialiser

Avatar de tazvld Abonné
Avatar de tazvldtazvld- 02/05/18 à 18:44:54

Signaler ce commentaire aux modérateurs :

Soyons fous ! Le petit tour azertyiop^$ est un peut trop droit.

Avatar de askana INpactien
Avatar de askanaaskana- 02/05/18 à 18:53:03

Signaler ce commentaire aux modérateurs :

moi j'ai pris les cordonné dune étoile xxxxxxxxxxxxxxxxxxxxxx    voila le nombre de caractère a trouver 

Avatar de gavroche69 Abonné
Avatar de gavroche69gavroche69- 02/05/18 à 19:20:45

Signaler ce commentaire aux modérateurs :

tazvld a écrit :

Soyons fous ! ...

Histoire de mettre les hackers en échec je suppose...

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 02/05/18 à 20:09:39

Signaler ce commentaire aux modérateurs :

comme dirait les utilisateurs chez moi "rho les mots de passe, on est pas au fbi"

Il n'est plus possible de commenter cette actualité.
Page 1 / 4