La plateforme de partage de code s’est fait une petite frayeur en matière de sécurité. GitHub vient en effet d’annoncer dans un blog avoir changé sa clé SSH RSA en raison d’une erreur l'exposant au public. « Vers 05:00 UTC le 24 mars, par excès de prudence, nous avons remplacé notre clé hôte RSA SSH utilisée pour sécuriser les opérations Git pour GitHub.com », explique l’éditeur. Et d’ajouter, « nous avons fait cela pour protéger nos utilisateurs contre toute possibilité qu'un adversaire se fasse passer pour GitHub ou écoute leurs opérations Git via SSH ».
Que s’est-il passé ? « Cette semaine, nous avons découvert que la clé privée RSA SSH de GitHub.com avait été brièvement exposée dans un dépôt public de GitHub ». La firme prend les devants sur des interrogations concernant l’origine de cette exposition. « Veuillez noter que ce problème n'est pas le résultat d'une compromission des systèmes de GitHub ou des informations des clients. L'exposition est plutôt la conséquence de ce que nous pensons être une publication involontaire d'informations privées ».
Ce changement de clé n’est pas sans poser quelques perturbations pour les utilisateurs. Les premiers symptômes sont un message d’avertissement alarmant (voir la capture ci-dessous). GitHub précise dans son blog que « ce changement n'a d'impact que sur les opérations Git via SSH en utilisant RSA. Le trafic web vers GitHub.com et les opérations Git HTTPS ne sont pas affectés ». Il complète en soulignant que « seule la clé SSH RSA de GitHub.com a été remplacée. Aucun changement n'est nécessaire pour les utilisateurs d'ECDSA ou d'Ed25519 ».
Le message d'alerte poussé par GitHub aux utilisateurs concernés par le changement de clé RSA SSH. (Crédit Photo : GitHub)