Le 7 décembre dernier, Github a détecté un accès non autorisé à plusieurs référentiels utilisés pour gérer et développer deux de ses applications. A savoir Desktop pour interagir avec Github via une interface graphique et Atom pour éditer du code (qui a tiré sa révérence depuis le 15 décembre 2022). « Un ensemble de certificats de signature de code chiffrés a été exfiltré ; cependant, ils étaient protégés par un mot de passe et nous n'avons aucune preuve d'utilisation frauduleuse », a expliqué GitHub. A titre préventif, la société a indiqué révoquer les certificats exposés pour Desktop et Atom, à savoir ceux pour Mac de la v3.0.2 à 3.1.2. A noter qu'il n'y a pas d'impact pour GitHub Desktop pour Windows.

Le mode opératoire des pirates pour parvenir à leur fin a été dévoilé et ne manque pas d'originalité : « Le 6 décembre 2022, les référentiels d'Atom, Desktop et d'autres outils obsolètes appartenant à GitHub ont été clonés par un jeton d'accès personnel (PAT) compromis associé à un compte système », explique le groupe. Ces certificats sont utilisés pour vérifier que le code a bien été conçu par un utilisateur légitime. Bien que ceux qui ont été corrompus ne mettent pas en danger les installations Desktop et Atom existantes, Github précise toutefois qu'en cas de déchiffrement « le cybercriminel pourrait signer des applications non officielles avec ces certificats et prétendre qu'ils ont été officiellement créés par GitHub ». 

Des certificats révoqués à compter du 2 février 2023

GitHub annonce révoquer les certificats de signature (deux Digicert dont la validité a expiré et un Apple Developer ID dont la validité court jusqu'en 2027) Mac et Windows utilisés pour signer les versions 3.0.2-3.1.2 de Desktop et les versions 1.63.0-1.63.1 d'Atom à compter de ce 2 février. « Une fois révoquées, toutes les versions signées avec ces certificats ne fonctionneront plus. Nous vous recommandons vivement de mettre à jour Desktop et/ou de rétrograder Atom avant le 2 février afin d'éviter toute interruption de vos workflows », prévient GitHub.