Sur 100 millions de développeurs utilisent GitHub en tant que plate-forme pour créer des logiciels. Il s’agit d’une plate-forme basée sur le cloud où les développeurs Web stockent, gèrent, contrôlent et suivent le code.
Cependant, les utilisateurs se demandent si GitHub est sûr. Malgré son efficacité, il reste vulnérable aux problèmes tels que les attaques de logiciels malveillants et les menaces en ligne.
Continuez à lire pour savoir si GitHub est sûr.
|
???? Principaux plats à emporter
|
Dans quelle mesure GitHub est-il sûr ?
Des millions de développeurs Web dans le monde entier ont apprécié les fonctionnalités de GitHub. Il dispose d’un outil d’IA appelé Co-pilote GitHubqui utilise des invites en langage humain pour générer des codes.
Une autre caractéristique remarquable est Pages GitHub. Cette fonctionnalité permet aux développeurs d’héberger un site Web statique à partir d’un référentiel.
Avec ces fonctionnalités et plus encore, les utilisateurs ont la garantie que GitHub est très sécurisé. Vous devrez générer des clés SSH pour accéder à la plateforme.
|
???? Définition SSH Secure Shell est un protocole utilisé par les administrateurs système pour avoir un accès sécurisé aux ordinateurs distants. Il s’agit d’un protocole standard utilisé par les VPN, qui fournit une vérification et un cryptage fiables des données pour une communication sécurisée. |
Cependant, divers événements et instances ont encore testé l’intégrité de la plate-forme. Découvrez quels sont ces événements dans la section suivante.
Attaques GitHub
Autour 30 000 sites Web sont piratés chaque jour. Comme tout autre site, GitHub a été la cible de cyberattaques.
Voici quelques-unes des attaques GitHub connues qui ont surpris ses utilisateurs dans le monde entier :
L’attaque GitHub de 2015
Le pire Attaque DDoS jamais enregistré a également frappé GitHub en mars 2015. Les utilisateurs à l’origine de l’attaque l’ont conçue pour durer six jours et utiliser des stratégies d’atténuation DDoS.
GitHub Status a fourni des mises à jour continues concernant l’attaque sur Twitter :
L’attaque est venue de Chine, ciblant deux projets liés au contournement de la censure chinoise. Les spéculations montrent que l’attaque voulait faire pression sur GitHub pour qu’il supprime ces projets.
Les utilisateurs à l’origine de l’attaque ont injecté du code JavaScript dans chaque Baidu navigateur du visiteur. D’autres sites qui ont utilisé les analyses de Baidu ont également détecté le code malveillant.
Les navigateurs et sites infectés envoyaient des requêtes HTTP à une cible Page GitHub.
Après l’attaque, quelqu’un a découvert que le code malveillant ne provenait pas de Baidu mais d’un service intermédiaire.
Attaque DDoS GitHub 2018
Un autre massif Attaque DDoS dans l’histoire ciblé GitHub. Cette attaque a atteint 1,3 téraoctets par seconde, envoyant 126,9 millions de paquets chaque seconde.
|
???? Définition UN Attaque DDoS est un cyber-attaque qui infecte un réseau d’appareils. Il génère des bots qui causent des ravages sur les serveurs. Cette attaque devient plus destructrice à mesure que les appareils infectés augmentent. |
L’attaque GitHub de 2018 était un Memcached Attaque DDoS sans botnets impliqués. Les attaquants ont tiré parti de l’effet d’amplification du système de mise en cache de base de données populaire.
Cette attaque a inondé les serveurs Memcached de requêtes falsifiées, ce qui a aidé les attaquants à intensifier le raid près de 50 000 fois.
Heureusement, GitHub utilisait un service de protection DDoS. La plateforme a reçu une alerte dans les 10 minutes suivant le début de l’attaque.
Cette alerte a déclenché l’atténuation et GitHub a pu arrêter l’attaque rapidement. L’ensemble attaque n’a duré que 20 minutes environ.
2022 GitHubAttack
Le 12 avril 2022, GitHub a découvert une brèche lorsque l’attaquant a accédé au Node Package Manager (NPM). La plateforme a révélé la brèche trois jours plus tard.
Avec Heroku et Travis CI, GitHub a annulé tous Jetons OAuth.
|
Cette étape a bloqué l’accès tout en informant les organisations concernées de vérifier les activités suspectes. GitHub a déclaré qu’il provenait d’un agresseur inconnu qui a obtenu des données à partir de stockages de code privés.
Les applications Heroku ou Travis CI OAuth concernées ont eu accès à différents comptes GitHub, permettant à l’attaquant de documenter les organisations avant de définir des cibles.
L’attaquant a même listé et cloné le référentiel privé pour les comptes utilisateurs.
Attaque GitHub de mars 2023
Selon un rapport de mars 2023, GitHub a été piraté, exposant sa clé d’hôte RSA SSH dans un référentiel public.
L’incident a soulevé des problèmes au sein de la communauté des développeurs concernant la sécurité de leur code. Cela a forcé GitHub à prendre des mesures rapides pour prévenir tout autre dommage.
Après la fuite, GitHub a remplacé sa clé d’hôte RSA SSH. Cela a arrêté l’usurpation d’identité du service ou l’écoute clandestine des opérations via SSH.
GitHub n’a confirmé aucune preuve d’adversaires exploitant la clé privée SSH exposée. Cependant, la clé divulguée a suscité de nombreuses inquiétudes parmi les développeurs de plates-formes.
Effets de GitHub compromis
Avec autant d’utilisateurs, un GitHub compromis peut avoir un impact significatif sur les utilisateurs. Voici quelques-unes des choses qui peuvent arriver une fois que votre compte GitHub est compromis :
Nuisance aux programmes
Un compte compromis peut permettre aux pirates de distribuer des logiciels malveillants déguisés en logiciels légitimes. Cela peut inciter les utilisateurs à télécharger logiciels malveillants et virus— nuire aux programmes, appareils ou systèmes de l’utilisateur.
Violation de données et vol d’identité
Une fois que les pirates entrent dans GitHub, ils peuvent accéder à toutes les données, même les plus confidentielles. Lorsque quelqu’un attaque GitHub, cela peut entraîner un vol de données, une perte financière et des dommages à l’entreprise.
Abaisse Fiabilité
Si GitHub est compromis plusieurs fois, cela peut amener les utilisateurs à éviter la plate-forme.
En tant qu’outil essentiel pour les développeurs, tout incident peut diminuer la Confiance GitHub niveau. L’intégrité du marché de la plate-forme diminuera également.
Comment rendre votre compte GitHub plus sûr ?
Étant donné que les risques sont toujours présents, il est préférable de savoir comment les atténuer avant qu’ils ne surviennent. Voici quelques moyens de réduire les menaces sur GitHub :
1. Créez un Mot de passe fort
80 % des incidents de piratage dans le monde entier sont dus à des problèmes liés aux mots de passe. C’est pourquoi il est nécessaire d’utiliser un mot de passe fort pour votre compte GitHub.
Il y a plusieurs façons d’avoir un mot de passe fort. Vous pouvez générer un mot de passe pour votre compte qui est soit :
- 8 caractères de long, dont un chiffre et une lettre minuscule
- 15 caractères de long, avec une combinaison de symboles
Outre la génération d’un mot de passe fort, il est également crucial que vous le gardiez en sécurité. Voici quelques bonnes pratiques de mot de passe que vous devriez suivre :
- Utilisez un mot de passe unique pour GitHub. Avoir le même mot de passe pour tous vos comptes permet aux pirates d’accéder facilement à tout.
- Ne partagez pas votre mot de passe, même avec un éventuel collaborateur.
- Pour plus de sécurité, utilisez un gestionnaire de mots de passe de confiance.
|
???? Article utile Si vous ne savez pas quel gestionnaire de mots de passe utiliser, essayez passeur. Il vous permet de profiter d’un stockage illimité et diversifié. Cet outil offre également une sécurité de haut niveau en utilisant AES-256. Consultez l’article ci-dessous pour en savoir plus sur ce qu’il a à offrir : |
2. Mettez à jour vos identifiants d’accès
Les informations d’identification GitHub incluent les mots de passe, les jetons d’accès, les clés SSH et les jetons d’API. Il est crucial de sécuriser ces détails tout le temps.
Une façon de protéger vos informations d’identification consiste à les mettre à jour régulièrement.
Par exemple, si vous utilisez un mot de passe faible, il est préférable de le mettre à jour avec un nouveau. Ceci s’applique également si vous l’avez oublié ou s’il y a eu une fuite.
Voici comment mettre à jour votre mot de passe GitHub :
Étape 1: Aller à Page de réinitialisation du mot de passe GitHub.
Étape 2: Entrez l’adresse e-mail liée à votre compte GitHub.
Étape 3: GitHub enverra un e-mail avec un lien pour réinitialiser votre mot de passe. Cliquer sur le lien.
|
Note: Si vous n’avez pas reçu d’e-mail de GitHub, vérifiez votre dossier Spam ou Junk. |
Étape 4: Vous recevrez un code selon que vous utilisez le mobile 2FA ou GitHub de votre compte.
Étape 5 : Cliquez sur Entrer code d’authentification à deux facteurs ou Utiliser le code de récupération vérifier.
Étape 6 : Entrez le code et cliquez Vérifier.
Étape 7 : Tapez un nouveau mot de passe dans le champ de texte et confirmez.
Étape 8 : Cliquez sur Cmodifier le mot de passe Et enregistrer.
|
???? Note de sécurité Votre mot de passe GitHub expire tous les 90 jours. Cela signifie que vous devez le changer au moins une fois tous les trois mois. Il est préférable de le changer plus souvent que 90 jours pour une meilleure sécurité. |
3. Consultez votre journal de sécurité
Vérifiez toujours le journal de sécurité de votre compte pour surveiller chaque action entreprise. Il vous permettra également de voir toute activité suspecte impliquant votre compte.
Votre journal de sécurité répertorie toutes les actions effectuées au cours des 90 derniers jours. Pour le vérifier, voici comment procéder :
- Cliquez sur votre photo de profil.
- Sélectionner Paramètres dans le coin supérieur droit de n’importe quelle page.
- Cliquez sur Journal de sécurité dans le Les archives section de la barre latérale. Il devrait afficher quelque chose comme :
Chaque entrée de journal affiche le qualificateur d’objet ou de catégorie, suivi d’un type d’opération. Par exemple, le repo.create L’entrée fait référence à l’opération complète sur la catégorie de dépôt.
Toute entrée de journal affiche des informations applicables sur un événement, telles que :
|
4. Empêcher l’accès non autorisé
GitHub a été conçu pour envoyer une alerte lorsqu’un incident de sécurité se produit.
Vous recevrez une alerte pour des cas comme lors d’une Bogue Heartbleed découverte ou lorsqu’un appareil avec un compte GitHub est volé.
GitHub demande un mot de passe pour effectuer des actions sensibles dans des situations comme celle-ci. Ces actions peuvent être :
- Autorisation des demandes
- Ajout de nouvelles clés SSH
- Modification des membres de l’équipe
Prenez note des meilleures pratiques suivantes pour garder votre compte sécurisé à tout moment :
 |
Activer authentification à deux facteurs pour votre compte GitHub. 2FA offre une protection à 100 % contre les attaques automatisées. |
 |
Vérifiez vos clés SSH, déployez les clés et les intégrations autorisées. |
 |
Annulez l’accès non autorisé ou inconnu dans vos paramètres SSH et Applications. |
 |
Surveillez toutes vos adresses e-mail. Si un attaquant ajoute son adresse e-mail à votre compte, cela pourrait l’obliger à réinitialiser un mot de passe involontaire. |
 |
Re-visitez le journal de sécurité de votre compte GitHub. Assurez-vous qu’aucun référentiel n’est rendu public ou transféré. |
 |
Passez en revue les webhooks sur vos référentiels. Ceux-ci pourraient permettre à un attaquant d’intercepter les poussées effectuées vers votre stockage. |
 |
Assurez-vous qu’il n’y a pas de nouvelles clés de déploiement. Cela pourrait permettre l’entrée d’un serveur externe dans vos projets. |
 |
Passez en revue les commits précédents effectués sur vos référentiels. |
 |
Consultez la liste des collaborateurs par référentiel. |
Conclusion
GitHub est généralement sûr. Cependant, il peut être plus sécurisé car ses fonctionnalités peuvent améliorer la sécurité d’un référentiel. Le seul défi consiste à assurer la sécurité des programmes si vous configurez un stockage public.
Pensez toujours à utiliser des référentiels privés car ils sont plus sécurisés. Pour éviter un violation de la sécuritésuivez les étapes ci-dessus pour vous assurer que personne d’autre ne peut accéder à vos projets et programmes.