Une faille dans Travis CI a exposé les variables d’environnement de milliers de projets open source

15 septembre 2021 à 16h45
3
lignes code © tookapic / Pixabay

Une faille de sécurité présente dans Travis CI, un logiciel d'intégration continue, a exposé les variables d'environnement de milliers de projets open source.

Les variables d'environnement de tous les projets publics utilisant le logiciel étaient accessibles pour n'importe quelle requête pull et pouvaient donc être exfiltrées.

Des variables d'environnement exposées

Travis CI est un logiciel qui permet de tester et de déployer ses applications de manière automatisée. Dans le cadre d'un fonctionnement normal, Travis CI lance un build à chaque nouvelle requête pull. Cependant, si ces requêtes proviennent de contributeurs extérieurs, les variables d'environnement ne sont pas ajoutées à ces builds pour des raisons de sécurité. En effet, celles-ci contiennent souvent des informations sensibles, comme des jetons d'authentification, et doivent impérativement rester secrètes.

Cependant, du 3 au 10 septembre, elles ont été rendues accessibles lors de n'importe quelle requête pull. Tous les répertoires publics utilisant Travis CI sont concernés et les variables d'environnement de nombreux projets open source ont donc potentiellement pu être récupérées.

Une réponse insuffisante pour les développeurs

Comme rapporté par Ars Technica, ce n'est pas tant la faille en elle-même qui attise la colère des développeurs que la réponse apportée par l'organisation. Le chercheur Felix Lange a découvert la faille et a notifié Travis CI de son existence le 7 septembre. La seule réponse apportée a été de suggérer de faire une rotation des secrets, ce qui n'était suffisant ni pour le chercheur ni pour Péter Szilágyi, Chef d'équipe d'Ethereum, qui ont demandé à GitHub de blacklister le logiciel.

Le 10 septembre, le logiciel a été patché dans la plus grande discrétion, sans annonce et sans prévenir les développeurs concernés que leurs projets avaient été mis en péril. Après des pressions supplémentaires, un bulletin de sécurité laconique a été ajouté au site de l'organisation, se contenant d'expliquer succinctement le problème et de rappeler aux développeurs la nécessité de faire une rotation des secrets régulièrement. Une réponse qui ne suffira pas à calmer les clients de Travis CI.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
TNZ
Mouais encore un truc tendant à prouver qu’on est jamais mieux servi que par soi-même.<br /> Depuis les éditeurs UML promettant de « générer le code à partir des patatoïdes fonctionnels » jusqu’aux dernières piles d’intégration continue, ça n’a pas beaucoup évolué. Comme souvent, on met un nom sur un truc qui existe depuis des années et c’est censé révolutionner le monde IT.<br /> Les logiciels d’intégration continue c’est comme l’autopilot des tesla (il faut avoir son permis de conduire), ça ne dispense pas de serrer à la culotte les opérations d’intégration. Malheureusement, ce n’est pas la vision des preneurs de décision qui y voit un moyen de d’augmenter les marges.
enrico69
@TNZ Les «&nbsp;preneurs de décisions&nbsp;» ont bon dos parfois…
sirifa
Les preneurs de décisions sont, de mon expérience, souvent le facteur aggravant voir le facteur principal dans l’échec de la sécurité informatique (je parle dans le développement).<br /> Les preneurs de décisions ne voit que 2 choses, le produit final (et pas la sécurité, pas la maintenabilité, pas l’évolutivité) et le prix que ça coûte.<br /> Donc on a maintenant un ensemble de technologie gratuite mise bout à bout pour tenter d’aller le plus vite possible. Les tests ont s’en tape que ca soit de qualité (unitaire, intégration) ou de performance, ou d’intrusion, de robustesse … Le retour sur investissement n’est pas suffisant à leurs yeux de comptable.<br /> Après on a quand même des gens qui travaillent n’importe comment aussi en développement (surtout que les sortie d’école ne sont pas vraiment formé dans les chers SSII ou ESN (novlangue))
TNZ
Oui, j’ai oublié d’inclure le client qui ne sait pas ce qu’il veut.<br /> Mais @sirifa a bien résumé la situation.
Voir tous les messages sur le forum

Derniers actualités

Idée cadeau | Insta360 X3 : une caméra spectaculaire
Vous devriez faire attention à vos données collectées depuis ces caméras et sonnettes connectées
Google One déploie son VPN gratuit sur les Pixel 7 et 7 Pro
Le Bitcoin est à bout de souffle, peut-il encore revenir ? La BCE n'y croit pas
Le télescope James Webb réussit à photographier les nuages de Titan autour de Saturne
Canal+ lance une nouvelle offre avec Disney+ et le nouveau Paramount + !
L'excellent SSD externe portable Samsung T7 1 To chute de prix avant Noël
Dernières heures du Black Friday : ne passez pas à côté de ces offres VPN !
Voici les meilleures applications de l'App Store en 2022
Haut de page