Utilisateurs de GitHub, attention à ce que vous mettez dans vos dépôts publics.
La dernière publication des Alien Labs d’AT&T le rappelle. Le sujet : une vulnérabilité dans Slack.
À la racine, les webhooks entrants.
Cette fonctionnalité permet d’exposer les espaces de travail à des applications tierces afin qu’elles puissent leur transmettre des données (en HTTP, au format JSON).
Le système est considéré comme peu risqué pour plusieurs raisons :
Cela dit, ont constaté les chercheurs d’AT&T :
D’après la documentation de Slack, l’étendue des canaux cibles autorisés dépend du créateur du webhook. Le risque est donc maximal lorsqu’il s’agit d’un administrateur.
L’exploitation combinée de ces paramètres ouvre la porte à des exfiltrations de données. Dans les grandes lignes, on :
La sécurité étant basée sur le contexte, certains profils sont plus « lucratifs ». Ils offrent d’autant plus de possibilités, dont l’envoi de messages privés à d’autres utilisateurs. Et la propagation entre espaces de travail en exploitant les canaux partagés.
Comment se prémunir ?
Par défaut, tous les membres d’un espace de travail peuvent y installer une application. C’est au propriétaire d’activer les différents systèmes d’approbation disponibles. Entre autres :
– Se limiter au catalogue d’applications validées par Slack
– Approuver les applications manuellement ou sur la base d’une liste blanche
– Utiliser les logs pour détecter les authentifications OAuth suspectes
Du côté de Slack, on pourrait implémenter le principe du « moindre privilège » pour les webhooks. Notamment en n’autorisant pas par défaut la modification du canal cible.
Officiellement, l’entreprise américaine a pour l’instant choisi de détecter les URL exposées au public sur GitHub… et de les invalider.
Illustration principale © Slack
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…