Une faille de sécurité présente dans Travis CI, un logiciel d'intégration continue, a exposé les variables d'environnement de milliers de projets open source.
Les variables d'environnement de tous les projets publics utilisant le logiciel étaient accessibles pour n'importe quelle requête pull et pouvaient donc être exfiltrées.
Des variables d'environnement exposées
Travis CI est un logiciel qui permet de tester et de déployer ses applications de manière automatisée. Dans le cadre d'un fonctionnement normal, Travis CI lance un build à chaque nouvelle requête pull. Cependant, si ces requêtes proviennent de contributeurs extérieurs, les variables d'environnement ne sont pas ajoutées à ces builds pour des raisons de sécurité. En effet, celles-ci contiennent souvent des informations sensibles, comme des jetons d'authentification, et doivent impérativement rester secrètes.
Cependant, du 3 au 10 septembre, elles ont été rendues accessibles lors de n'importe quelle requête pull. Tous les répertoires publics utilisant Travis CI sont concernés et les variables d'environnement de nombreux projets open source ont donc potentiellement pu être récupérées.
Une réponse insuffisante pour les développeurs
Comme rapporté par Ars Technica, ce n'est pas tant la faille en elle-même qui attise la colère des développeurs que la réponse apportée par l'organisation. Le chercheur Felix Lange a découvert la faille et a notifié Travis CI de son existence le 7 septembre. La seule réponse apportée a été de suggérer de faire une rotation des secrets, ce qui n'était suffisant ni pour le chercheur ni pour Péter Szilágyi, Chef d'équipe d'Ethereum, qui ont demandé à GitHub de blacklister le logiciel.
Le 10 septembre, le logiciel a été patché dans la plus grande discrétion, sans annonce et sans prévenir les développeurs concernés que leurs projets avaient été mis en péril. Après des pressions supplémentaires, un bulletin de sécurité laconique a été ajouté au site de l'organisation, se contenant d'expliquer succinctement le problème et de rappeler aux développeurs la nécessité de faire une rotation des secrets régulièrement. Une réponse qui ne suffira pas à calmer les clients de Travis CI.
Sources : Ars Technica, Péter Szilágyi
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articles
