Les éléments de sécurité de milliers de projets open source se retrouveraient dans la nature après la découverte d’une faille de sécurité dans Travis CI. Le logiciel libre d’intégration continue propose une solution de test de logiciels utilisée à ce jour par plus de 900 000 projets et 600 000 utilisateurs selon Arstechnica. Par la suite, des informations telles que les clés de signature, les identifiants d’accès ainsi que les jetons d’API de l’ensemble des projets open source ont été dévoilés.
C’est le chercheur Felix Lange qui a découvert la vulnérabilité ce mois-ci et en a fait part à la plateforme. Nommée CVE-2021-41077, elle est présente dans le processus d'activation de Travis CI et affecte certaines versions créées entre le 3 et le 10 septembre. Dans le détail, elle s’exécute de la façon suivante : les développeurs sont censés ajouter un fichier « .travis.yml » dans leur référentiel de projets open source pour toute activation. Ce fichier indique à Travis CI ce qu'il faut faire et peut contenir des secrets chiffrés.
La faille, rapidement corrigée, a tout de même mis en colère la communauté des développeurs, notamment sur Twitter où certains ont exprimé leur mécontentement.
Between the 3 Sept and 10 Sept, secure env vars of *all* public @travisci repositories were injected into PR builds. Signing keys, access creds, API tokens.
— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 14, 2021
Anyone could exfiltrate these and gain lateral movement into 1000s of orgs. #security 1/4https://t.co/i23jFzAjjH
Une défense plutôt mince
Pour être capable de tester et/ou de déployer un code source sur Travis CI, l’utilisateur doit se connecter à son compte GitHub. De fait, les codes sont hébergés sur Github. En réaction à cette annonce, des développeurs ont demandé à GitHub d'interdire Travis CI. En position de faiblesse, Travis CI a publié en urgence un bulletin de sécurité.
Travis CI a adressé un maigre bulletin de sécurité à ses utilisateurs quelques jours après avoir colmaté la faille. (Crédit : Travis CI)
Un post qui n’a pas été du goût de tout le monde… « Enfin, après plusieurs ultimatums de plusieurs projets, [ils] ont posté ce post boiteux caché profondément où personne ne le lira... Pas même un seul « merci ». [Pas] de reconnaissance de divulgation responsable. Sans même admettre la gravité de tout cela », a déclaré Péter Szilágyi, en se référant au bulletin de sécurité.
Commentaire