Une faille dans Travis CI a exposé les variables d’environnement de milliers de projets open source

15 septembre 2021 à 16h45
3

Une faille de sécurité présente dans Travis CI, un logiciel d'intégration continue, a exposé les variables d'environnement de milliers de projets open source.

Les variables d'environnement de tous les projets publics utilisant le logiciel étaient accessibles pour n'importe quelle requête pull et pouvaient donc être exfiltrées.

Des variables d'environnement exposées

Travis CI est un logiciel qui permet de tester et de déployer ses applications de manière automatisée. Dans le cadre d'un fonctionnement normal, Travis CI lance un build à chaque nouvelle requête pull. Cependant, si ces requêtes proviennent de contributeurs extérieurs, les variables d'environnement ne sont pas ajoutées à ces builds pour des raisons de sécurité. En effet, celles-ci contiennent souvent des informations sensibles, comme des jetons d'authentification, et doivent impérativement rester secrètes.

Cependant, du 3 au 10 septembre, elles ont été rendues accessibles lors de n'importe quelle requête pull. Tous les répertoires publics utilisant Travis CI sont concernés et les variables d'environnement de nombreux projets open source ont donc potentiellement pu être récupérées.

Une réponse insuffisante pour les développeurs

Comme rapporté par Ars Technica, ce n'est pas tant la faille en elle-même qui attise la colère des développeurs que la réponse apportée par l'organisation. Le chercheur Felix Lange a découvert la faille et a notifié Travis CI de son existence le 7 septembre. La seule réponse apportée a été de suggérer de faire une rotation des secrets, ce qui n'était suffisant ni pour le chercheur ni pour Péter Szilágyi, Chef d'équipe d'Ethereum, qui ont demandé à GitHub de blacklister le logiciel.

Le 10 septembre, le logiciel a été patché dans la plus grande discrétion, sans annonce et sans prévenir les développeurs concernés que leurs projets avaient été mis en péril. Après des pressions supplémentaires, un bulletin de sécurité laconique a été ajouté au site de l'organisation, se contenant d'expliquer succinctement le problème et de rappeler aux développeurs la nécessité de faire une rotation des secrets régulièrement. Une réponse qui ne suffira pas à calmer les clients de Travis CI.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
Voir tous les messages sur le forum

Lectures liées

Bon Plan Antivirus : Bitdefender Total Security protège vos appareils avec 60% de réduction
Telegram : les activités de cybercriminalité se multiplient, selon un rapport
Ransomware : l'éditeur Bitdefender met à disposition un outil de déchiffrement pour REvil
Harcèlement scolaire : le hashtag #Anti2010 supprimé de TikTok
Google s'associe à l'OSTIF pour améliorer la sécurité des projets open source tels que Git
Cyberattaque AP-HP : 1,4 million de personnes testées au COVID-19 victimes d'un vol de données
L'hébergeur de sites liés à l'extrême-droite Epik aurait été piraté et ses données dérobées par Anonymous
Une vulnérabilité présente dans un driver HP Omen menace des millions d’appareils de la marque
CyberGhost VPN : Bénéficiez d'un excellent tarif à 1,90€ + 2 mois gratuits
FORCEDENTRY : les détails de la faille
Haut de page