{"id":21872,"date":"2024-05-21T10:47:44","date_gmt":"2024-05-21T08:47:44","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21872"},"modified":"2024-05-21T16:41:28","modified_gmt":"2024-05-21T14:41:28","slug":"beware-github-malicious-links","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/beware-github-malicious-links\/21872\/","title":{"rendered":"Des programmes malveillants dans des liens « officiels » GitHub et GitLab"},"content":{"rendered":"

L\u2019un des tout premiers conseils en mati\u00e8re de s\u00e9curit\u00e9 est celui-ci : \u00ab\u00a0Ne t\u00e9l\u00e9chargez que des logiciels provenant de sources officielles.\u00a0\u00bb Les \u00ab\u00a0sources officielles \u00a0\u00bb correspondent g\u00e9n\u00e9ralement aux principaux magasins d\u2019applications disponibles sur chaque plateforme, mais pour des millions d\u2019applications open source utiles et gratuites, la source la plus \u00a0\u00bb officielle \u00a0\u00bb est l\u2019espace de stockage du d\u00e9veloppeur sur un site d\u00e9di\u00e9 comme GitHub ou GitLab. Vous y trouverez le code source du projet, les correctifs et les ajouts apport\u00e9s au code et, souvent, une version pr\u00eate \u00e0 l\u2019emploi de l\u2019application. Ces sites sont connus de tous ceux qui s\u2019int\u00e9ressent de pr\u00e8s ou de loin aux ordinateurs, aux logiciels et \u00e0 la programmation. C\u2019est pour cette raison qu\u2019il a \u00e9t\u00e9 tr\u00e8s d\u00e9sagr\u00e9able pour beaucoup de monde (y compris pour les sp\u00e9cialistes en s\u00e9curit\u00e9 informatique et les d\u00e9veloppeurs eux-m\u00eames) de d\u00e9couvrir qu\u2019un fichier accessible par un lien comme github{.}com\/{User_Name}\/{Repo_Name}\/files\/{file_Id}\/{file_name}<\/em> pouvait \u00eatre publi\u00e9 par une autre personne que le d\u00e9veloppeur et contenir\u2026 n\u2019importe quoi.<\/p>\n

Bien s\u00fbr, les cybercriminels en ont imm\u00e9diatement profit\u00e9.<\/p>\n

Analyse du probl\u00e8me<\/h2>\n

GitHub et son proche parent GitLab sont construits autour de la collaboration sur des projets de d\u00e9veloppement de logiciels. Un d\u00e9veloppeur peut y charger son code, et d\u2019autres personnes peuvent proposer des ajouts et des correctifs ou m\u00eame cr\u00e9er des forks, aussi appel\u00e9s reprises logicielles, c\u2019est-\u00e0-dire des versions alternatives de l\u2019application ou de la biblioth\u00e8que. Si un utilisateur trouve un bug dans une application, il peut le signaler au d\u00e9veloppeur en cr\u00e9ant un rapport de probl\u00e8me. Les autres utilisateurs peuvent confirmer ce probl\u00e8me dans les commentaires. Par ailleurs, il est possible de commenter les nouvelles versions de l\u2019application. Si n\u00e9cessaire, il est \u00e9galement possible de joindre \u00e0 ces commentaires des fichiers, comme des captures d\u2019\u00e9cran de l\u2019erreur ou des documents \u00e0 l\u2019origine d\u2019un plantage de l\u2019application. Ces fichiers sont stock\u00e9s sur les serveurs de GitHub \u00e0 l\u2019aide de liens semblables \u00e0 ceux d\u00e9crits ci-dessus.<\/p>\n

Cependant, GitHub a une particularit\u00e9 : si un utilisateur r\u00e9dige un commentaire et charge les fichiers qui l\u2019accompagnent sans cliquer sur \u00ab\u00a0Publier\u00a0\u00bb, les informations restent \u00ab\u00a0bloqu\u00e9es\u00a0\u00bb dans le brouillon et sont donc invisibles pour le propri\u00e9taire de l\u2019application comme pour les autres utilisateurs de GitHub. N\u00e9anmoins, un lien direct vers le fichier charg\u00e9 dans les commentaires est cr\u00e9\u00e9 et demeure enti\u00e8rement op\u00e9rationnel, et toute personne qui suit ce lien re\u00e7oit le fichier depuis le CDN de GitHub.<\/p>\n

\"Un<\/a>

Un lien de t\u00e9l\u00e9chargement vers un fichier malveillant est g\u00e9n\u00e9r\u00e9 apr\u00e8s l\u2019ajout de ce fichier \u00e0 un commentaire non publi\u00e9 sur GitHub.<\/p><\/div>\n

De leur c\u00f4t\u00e9, les propri\u00e9taires de l\u2019espace de stockage dans lequel ce fichier est publi\u00e9 ne peuvent pas le supprimer ou le bloquer. Ils n\u2019ont m\u00eame pas connaissance de son existence\u00a0! De plus, il n\u2019existe pas de param\u00e8tres pour restreindre le chargement de ce type de fichiers dans l\u2019espace de stockage dans son ensemble. La seule solution consisterait \u00e0 d\u00e9sactiver compl\u00e8tement les commentaires (sur GitHub, il est possible de les d\u00e9sactiver pendant six mois), mais cela emp\u00eacherait les d\u00e9veloppeurs de recevoir des retours.<\/p>\n

Le m\u00e9canisme des commentaires sur GitLab est similaire, car il permet de publier des fichiers par l\u2019interm\u00e9diaire de brouillons de commentaires. Les fichiers sont accessibles via un lien comme gitlab.com\/{User_Name}\/{Repo_Name}\/uploads\/{file_Id}\/{file_name}.<\/em><\/p>\n

Cependant, dans ce cas pr\u00e9cis, le probl\u00e8me est quelque peu minimis\u00e9 par le fait que seuls les utilisateurs GitLab enregistr\u00e9s et connect\u00e9s peuvent charger des fichiers.<\/p>\n

Un vrai cadeau pour les campagnes de phishing<\/h2>\n

Gr\u00e2ce \u00e0 la possibilit\u00e9 de publier des fichiers arbitraires via des liens commen\u00e7ant par \u00ab\u00a0github\u00a0\u00bb ou \u00ab\u00a0gitlab\u00a0\u00bb et contenant les noms de d\u00e9veloppeurs respect\u00e9s et de projets populaires (car un commentaire non publi\u00e9 avec un fichier peut \u00eatre laiss\u00e9 dans presque tous les espaces de stockage), les cybercriminels sont en mesure de mener des attaques de phishing tr\u00e8s convaincantes. Des campagnes malveillantes<\/a> impliquant des \u00ab\u00a0commentaires\u00a0\u00bb cens\u00e9s contenir des applications de triche li\u00e9es \u00e0 des jeux ont d\u00e9j\u00e0 \u00e9t\u00e9 d\u00e9couvertes dans des espaces de stockage Microsoft.<\/p>\n

Un utilisateur vigilant pourrait se demander pourquoi une application de triche li\u00e9e \u00e0 un jeu se trouverait dans l\u2019espace de stockage Microsoft https:\/\/github{.}com\/microsoft\/vcpkg\/files\/\u2026..\/Cheat.Lab.zip<\/em>. Cependant, il est bien plus probable que les mots cl\u00e9s \u00ab\u00a0github\u00a0\u00bb et \u00ab\u00a0microsoft\u00a0\u00bb rassurent la victime, qui n\u2019analysera pas davantage le lien. Les cybercriminels les plus rus\u00e9s peuvent dissimuler leurs programmes malveillants avec encore plus de soin, par exemple en les pr\u00e9sentant comme une nouvelle version d\u2019une application distribu\u00e9e via GitHub ou GitLab et en publiant des liens via des \u00ab\u00a0commentaires\u00a0\u00bb sur l\u2019application en question.<\/p>\n

Comment vous prot\u00e9ger des contenus malveillants sur GitHub et GitLab\u00a0?<\/h2>\n

Alors que ce d\u00e9faut de conception n\u2019a toujours pas \u00e9t\u00e9 corrig\u00e9 et que n\u2019importe qui peut encore librement charger des fichiers arbitraires vers le CDN de GitHub et de GitLab, les utilisateurs de ces plateformes doivent faire preuve d\u2019une extr\u00eame prudence.<\/p>\n