GitHub a fait pivoter sa clé SSH privée pour GitHub.com après que le secret a été accidentellement publié dans un référentiel GitHub public.
Le service de développement de logiciels et de contrôle de version indique que la clé RSA privée n’a été exposée que « brièvement », mais qu’elle a pris des mesures par « trop de prudence ».
Fenêtre d’exposition peu claire
Dans un article de blog succinct publié aujourd’hui, GitHub a reconnu avoir découvert cette semaine que la clé privée RSA SSH pour GitHub.com avait été exposée de manière éphémère dans un référentiel public GitHub.
« Nous avons immédiatement agi pour contenir l’exposition et avons commencé à enquêter pour comprendre la cause profonde et l’impact », écrit Mike Hanley, directeur de la sécurité de GitHub et vice-président directeur de l’ingénierie.
« Nous avons maintenant terminé le remplacement de la clé, et les utilisateurs verront le changement se propager au cours des trente prochaines minutes. Certains utilisateurs ont peut-être remarqué que la nouvelle clé était brièvement présente à partir de 02h30 UTC lors des préparatifs de ce changement. »
Le moment de la découverte est intéressant, quelques semaines seulement après que GitHub a lancé l’analyse des secrets pour tous les dépôts publics.
Les dernières empreintes digitales de clé publique de GitHub.com sont présentées ci-dessous. Ceux-ci peuvent être utilisés pour valider que votre connexion SSH aux serveurs de GitHub est bien sécurisée.
Comme certains peuvent le remarquer, seule la clé RSA SSH de GitHub.com a été impactée et remplacée. Aucune modification n’est requise pour les utilisateurs ECDSA ou Ed25519.
« Veuillez noter que ce problème n’est pas le résultat d’une compromission des systèmes GitHub ou des informations client », déclare GitHub.
« Au lieu de cela, l’exposition était le résultat de ce que nous pensons être une publication par inadvertance d’informations privées. »
Le billet de blog, cependant, ne répond pas exactement quand la clé a été exposée et pendant combien de temps, ce qui rend la chronologie de l’exposition un peu trouble. Ces horodatages peuvent généralement être vérifiés à partir des journaux de sécurité, s’ils sont disponibles, et de l’historique des commits Git.
GitHub déclare en outre qu’il n’a « aucune raison de croire » que la clé exposée a été utilisée de manière abusive et a fait pivoter la clé « par prudence ».
Mais, la rotation d’une clé privée une fois qu’elle a été divulguée, aussi «brièvement» soit-elle, est en tout cas une étape nécessaire pour protéger les utilisateurs des adversaires qui pourraient potentiellement se faire passer pour votre serveur ou espionner la connexion d’un utilisateur.
La clé RSA exposée en question ne donne pas accès à l’infrastructure de GitHub ou aux données client, a précisé Hanley.
« Ce changement n’affecte que les opérations Git sur SSH utilisant RSA. Le trafic Web vers GitHub.com et les opérations HTTPS Git ne sont pas affectés. »
Revérifiez cette empreinte digitale
Bien que GitHub ait modifié les clés SSH privées, plusieurs documents et projets logiciels, y compris ceux de GitHub, continuent d’utiliser l’empreinte SSH de sa clé désormais révoquée :
SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8
En tant que tel, les utilisateurs doivent mettre à jour leur fichier ~/.ssh/known_hosts avec la nouvelle empreinte digitale de clé de GitHub, sinon ils pourraient voir des avertissements de sécurité lors de connexions SSH. Lorsqu’ils reçoivent de tels avertissements, les utilisateurs doivent s’assurer que l’empreinte digitale affichée sur leur écran correspond à celle de la dernière clé de GitHub.com.
Depuis l’année dernière, les clés d’hôte SSH à jour de GitHub sont également publiées sur son point de terminaison de métadonnées d’API.