Suite à une faille sur GitKraken, les plateformes GitHub, GitLab et BitBucket révoquent massivement des clés SSH

17 octobre 2021 à 16h30
5
Github logo
© GitHub

Incontournables auprès des développeurs, les hébergeurs de code les plus populaires révoquent massivement des clés SSH.

La faute à une faille découverte sur GitKraken qui a poussé la société Axosoft à avertir les autres plateformes d’une vulnérabilité autour de ses clés d'authentification SSH.

Une vulnérabilité des clés SSH de GitKraken

Depuis le début de semaine, Microsoft, GitHub, GitLab, et BitBucket, quatre des plus grands hébergeurs de codes, ont entamé une révocation de masse des clés SSH. Une démarche initiée à la demande d'Axosoft, qui a repéré une faille de sécurité pour les versions 7.6.x, 7.7.x et 8.0.0 de son propre logiciel GitKraken. Dans un billet de blog, le développeur a immédiatement averti les autres sites où un compte de sa plateforme peut être synchronisé.

Concrètement, sous certaines conditions, cette vulnérabilité peut permettre à des personnes malveillantes de s’attaquer à la bibliothèque tierce utilisée pour dupliquer les clés SSH trop faibles générées par ces versions plus anciennes de GitKraken. Une manœuvre qui pourrait leur donner accès aux comptes utilisateurs touchés pour voler leurs codes sources, mais ni Axosoft, ni les quatre plateformes n’ont détecté d’attaque suite à cette faille, pour le moment du moins.

Les personnes touchées ont été contactées dans les 24 heures qui ont suivi l’alerte, mais Microsoft, GitHub, GitLab, et BitBucket recommandent malgré tout à leurs utilisateurs et utilisatrices de générer de nouvelles clés SSH en utilisant un client Git différent ou en passant par la version de GitKraken mise à jour. 

Source : Axosoft

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
5
clockover
Hébergez vos codes en interne…
gruiiik
Aucun rapport, gitkraken est un client.
negima
Je suis passé sur GitExtensions depuis que GitKraken est devenu payant pour les dépôts privés.
clockover
Mais le résultat est publique…
Cynian90
Perso j’écris mes clefs SSH à la main pour éviter les embrouilles
Voir tous les messages sur le forum
Haut de page