Une série de vulnérabilités de sécurité découvertes dans des outils populaires liés à Git, comme GitHub Desktop, expose les utilisateurs à des risques de fuite de leurs informations d’identification sensibles. Ces failles pourraient permettre à des cybercriminels de voler des identifiants Git et d’accéder à des ressources protégées à distance. Découvrez les détails techniques et les mesures à prendre pour vous en prémunir.
Les vulnérabilités identifiées dans GitHub Desktop et d’autres outils Git
Un protocole Git mal géré à l’origine des failles
Les recherches menées par Ry0taK, expert en sécurité chez GMO Flatt Security, ont mis en évidence une mauvaise gestion du Git Credential Protocol, un système utilisé pour récupérer les informations d’identification via un assistant de gestion des identifiants. En raison de traitements incorrects des messages, plusieurs projets liés à Git sont vulnérables, ce qui peut mener à des fuites d’informations.
Les failles notables révélées
- CVE-2025-23040 (score CVSS : 6.6) : Les URLs distantes malveillantes peuvent entraîner des fuites d’identifiants dans GitHub Desktop.
- CVE-2024-50338 (score CVSS : 7.4) : L’injection de caractères retour chariot dans une URL distante permet de détourner les informations d’identification dans Git Credential Manager.
- CVE-2024-53263 (score CVSS : 8.5) : Git LFS autorise l’exfiltration d’informations d’identification via des URLs HTTP spécialement conçues.
- CVE-2024-53858 (score CVSS : 6.5) : Le clonage récursif dans GitHub CLI peut révéler des jetons d’authentification à des hôtes non autorisés.
Une analyse technique : comment ces vulnérabilités compromettent vos Jetons Git ?
L’effet d’un retour chariot mal géré
Le protocole d’assistance d’identifiants de Git utilise des messages séparés par des caractères de saut de ligne (\n
). Cependant, l’injection d’un caractère retour chariot (\r
) dans des URLs malveillantes peut corrompre ces messages. Cela permettrait à des attaquants de détourner les informations d’identification stockées localement pour les envoyer vers des hôtes sous leur contrôle. GitHub Desktop a été particulièrement impacté par cette faille, conduisant à des risques significatifs de fuite d’informations.
Une exploitation via des variables d’environnement
Dans le cas du client en ligne de commande GitHub CLI, les attaques exploitent des jetons mal configurés, tels que GITHUB_TOKEN
et GH_ENTERPRISE_TOKEN
. Si certaines de ces variables sont peu utilisées, l’environnement CODESPACES
, activé par défaut, intensifie les risques. En clonant un dépôt malicieux sur la plateforme GitHub Codespaces, un attaquant peut facilement récupérer des jetons et accéder à des ressources hautement sensibles, créant une potentielle brèche dans la chaîne de sécurité.
Les correctifs et mesures de protection pour les utilisateurs Git
Les mises à jour indispensables
Face aux failles révélées, diverses actions correctives ont été mises en œuvre. Par exemple, la vulnérabilité liée au retour chariot (CVE-2024-52006) a été corrigée dans la version 2.48.1 de Git. GitHub recommande vivement à tous les utilisateurs de mettre à jour leurs outils Git pour assurer une protection optimale. Ces correctifs incluent également la résolution du CVE-2024-50349, qui visait à exploiter des séquences d’échappement trompeuses dans les URLs.
Précautions supplémentaires pour limiter les risques
Pour les utilisateurs ne pouvant pas encore appliquer les mises à jour, certaines pratiques peuvent réduire les risques. Il est conseillé d’éviter d’exécuter la commande git clone
avec l’option --recurse-submodules
sur des dépôts non fiables. En outre, désactiver l’utilisation des assistants de gestion des identifiants et ne cloner que des référentiels publics est une mesure préventive judicieuse.
Les failles présentées dans cet article soulignent l’importance de rester vigilant face aux risques de sécurité informatique et de protéger ses systèmes contre toute tentative de compromission. Chez CyberCare, nous proposons des solutions avancées pour protéger vos identifiants et renforcer la sécurité de vos environnements numériques.