L’incident s’est déroulé à partir du 27 décembre et identifié deux jours plus tard : « Après enquête, nous avons découvert qu’un petit nombre de jetons de membres du personnel de Slack avaient été dérobés et utilisés à mauvais escient pour accéder à notre référentiel GitHub hébergé en externe ».
L’enquête de Slack indique que « le pirate informatique avait téléchargé des référentiels de code privés le 27 décembre ». « Aucun référentiel téléchargé ne contenait de données clients, de moyens d’accéder aux données clients, ou le code base principal de Slack », se dépêche d’ajouter la société.
Cette dernière rappelle qu’un « référentiel de code est une bibliothèque de code logiciel. Outre le code lui-même, le référentiel contient de la documentation, des notes, des pages web et le suivi des modifications apportées ».
Les jetons utilisés ont évidemment été invalidés. « D’après nos conclusions actuelles, le pirate informatique n’a accédé à aucune autre zone de l’environnement Slack, y compris l’environnement de production, ni à aucune autre ressource Slack ou aux données clients. Cette intrusion n’a eu aucun impact sur notre code ou nos services, et nous avons également modifié l’ensemble des identifiants pertinents par précaution », ajoute la société.
Commentaires (13)
#1
Traduction “intéressante” de /repository/ par référentiel au lieu de “dépôt”.
#1.1
C’est pas la première erreur de traduction assez grossière dans les Brief récemment, surtout pour un journal « Tech », j’ai l’impression qu’ils essaient de les automatiser par Google Trad
#1.2
Ici, c’est le terme qui apparaît sur leur site en français. La traduction (peut-être automatique) est de Slack.
NXI n’y est pour rien.
#1.3
C’est une traduction qui est souvent utilisée et que j’ai vu passer pas mal de fois. Y compris par GitHub.
A ma connaissance il n’y a pas de traduction “officielle” des termes utilisé par git et “dépôt” n’est qu’une traduction littérale de repository. Référentiel ne m’a jamais paru être une mauvaise traduction.
#2
Aucune explication sur comment ces jetons ont été récupérés ?
#3
Ca peut aller vite, on a eu des cas de fuite de tokens par copier/coller malencontreux dans un linter en ligne. La personne qui l’utilisait ne savait pas qu’il enregistrait toutes les requêtes.
Perso je compte plus les repos dans lesquels on retrouve des scripts shell avec des tokens en dur dedans pour faire des trucs… Le hic avec GitHub, c’est que si sur un repo public ils invalident immédiatement le token à détection car la détection de secrets est active par défaut, sur un privé ou d’entreprise il faut acheter la license Advanced Security pour ça.
C’est aussi un bon côté des nouveaux PAT qui sont en bêta, une orga d’entreprise peut les invalider directement si elle suspecte une activité louche dessus. Là où sur un PAT actuel, elle ne peut rien faire à part révoquer le token SSO associé. Si tant est qu’elle ait relié son orga à son SSO.
#4
Un dépôt GitHub hébergé en externe ? Comme tous les dépôts GitHub pour qui n’est pas GitHub (ou MS ou quiconque héberge les dépôts GitHub) ?
#4.1
Je ne sais rien du contexte de Slack, mais Github permet d’installer une version On Prem (Github Enterprise Server), pour ceux qui préfèrent héberger eux même.
#4.3
Ah j’ai fait une recherche rapide avec « self hosted » j’aurais dû essayer on premise, merci.
#4.2
Vu leur façon de s’exprimer, je comprends ça comme étant “chez notre prestataire GitHub”. En gros ça indique qu’ils hébergent leur code sur GitHub et non sur un système interne (comme un GitLab on-prem par exemple).
#4.4
Je l’ai pris comme ça aussi, mais depuis que PanDaReN m’a fait découvrir que GitHub a une version on premise la formulation prend tout son sens.
#4.5
Oui, GitHub Enterprise Server permet d’héberger soit-même le service. Mais j’ai des doutes que Slack s’en serve, c’est quand même un besoin assez spécifique.
Je pense plutôt que c’est l’orga slaskhq qui doit avoir été touchée par la fuite.
#5
Référentiel suppose un point de référence, ce qui n’est pas la sémantique derrière l’entreposage de code (quelque soit la technologie utilisée), qui ne fait que décrire un endroit où le code est stocké.
Dépôt semble plus adapté, ou entrepôt, plutôt tombé en désuétude mais tout à fait juste, car correspondant à la réalité technique des outils visés.
La sémantique peut être ajoutée par-dessus la description technique : par exemple, un dépôt peut très bien servir afin de stocker un référentiel d’une nature quelconque.