Plusieurs utilisateurs, dont celui de VeraCrypt, ont reçu un courrier de GitHub les invitant à changer leur mot de passe. En cause, un « bug » provoquant son enregistrement en clair dans les logs de la société. Les risques sont faibles, mais une réinitialisation des mots de passe concernés a été mise en place.
Une des règles de base concernant les mots de passe est de ne stocker qu'une empreinte (hash), comme le rappelait encore récemment la CNIL : « Le mot de passe ne doit jamais être stocké en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».
Si dans un monde parfait tout le monde est censé respecter cette règle, des plus basiques rappelons-le, le récent cas des Échos nous rappelle que même en 2018, ce n'est pas toujours le cas. La situation de GitHub est néanmoins différente, même si des mots de passe se sont quand même retrouvés stockés en clair sur ses serveurs.
Pas de fuite de données affirme GitHub
La plateforme a en effet envoyé des e-mails à certains de ses utilisateurs leur demandant de modifier leur mot de passe car, « au cours d'un audit de routine, GitHub a découvert qu'un bug introduit récemment exposait un petit nombre de mots de passe d'utilisateurs à nos logs internes », comme le rapport Bleeping Computer. Ce « bug », pour reprendre la formulation de l'entreprise, se produisait lorsqu'une demande de réinitialisation était lancée par un utilisateur.
Malgré tout, « GitHub stocke les mots de passe des utilisateurs avec des hachages cryptographiques sécurisés (bcrypt) » déclare la société, pour rassurer ses utilisateurs. Elle ajoute que les mots de passe en clair n'étaient accessibles ni au public, ni aux autres utilisateurs de GitHub, ni à la majorité des employés de la société. Néanmoins, « il est très improbable qu'un membre du personnel ait accédé à ces journaux » précise GitHub.
@github asked me to change password. pic.twitter.com/NgRVb2vVCX
— Bobinson K B (@bobinson) 1 mai 2018
Changement de mot de passe obligatoire pour les comptes concernés
Le souci a été corrigé dans la foulée, mais les utilisateurs concernés doivent changer leur mot de passe par mesure de sécurité. « GitHub n'a pas été piraté ou compromis de quelque façon que ce soit » ajoute la société en guise de conclusion.
Parmi les « victimes » se trouve l'outil de chiffrement VeraCrypt (lire nos différents guides). Son développeur, Mounir Idrassi, se veut néanmoins rassurant : « Aucun accès frauduleux au dépôt n'a été trouvé. Nous utilisons une identification à deux facteurs, une clé SSH et la signature GPG pour les commits, le risque est donc faible ».
Nous avons contacté GitHub afin d'avoir de plus amples informations (notamment sur le nombre de personnes concernées et la durée du « bug »), sans réponse pour le moment. Certains de nos confrères américains ont également essayé de contacter la plateforme, également sans succès.
Comme toujours lorsqu'il s'agit de choisir un mot de passe, il est important de respecter certaines règles. Vous pouvez aussi utiliser un gestionnaire pour les retenir à votre place.
