{"id":406,"date":"2020-03-25T09:46:24","date_gmt":"2020-03-25T09:46:24","guid":{"rendered":"https:\/\/github.blog\/fr\/?p=406"},"modified":"2020-10-05T09:48:39","modified_gmt":"2020-10-05T09:48:39","slug":"le-programme-security-bug-bounty-de-github-fete-ses-6-ans","status":"publish","type":"post","link":"https:\/\/github.blog\/fr\/2020-03-25-le-programme-security-bug-bounty-de-github-fete-ses-6-ans\/","title":{"rendered":"Le programme Security Bug Bounty de GitHub f\u00eate ses 6 ans"},"content":{"rendered":"

D\u00e9couvrez le programme Security Bug Bounty de GitHub et prenez connaissance du r\u00e9capitulatif des bugs de 2019, de l’\u00e9largissement de champ de comp\u00e9tences du programme, des nouvelles fonctionnalit\u00e9s, et plus encore.<\/span><\/p>\n

Le mois dernier, GitHub a franchi des \u00e9tapes d\u00e9cisives dans le cadre du <\/span>Security Bug Bounty<\/span><\/a>. F\u00e9vrier 2020 a marqu\u00e9 les six ans du programme, six ann\u00e9es pendant lesquelles GitHub a accept\u00e9 des soumissions. Au fil des ann\u00e9es, GitHub a\u00a0 investi dans la communaut\u00e9 des bugs bounty par le biais d’\u00e9v\u00e9nements en direct, de bug bounty priv\u00e9s, d’avant-premi\u00e8res produits et, bien s\u00fbr d\u2019attribution de primes en esp\u00e8ces.<\/span><\/p>\n

GitHub est heureux d’annoncer que le seuil du million de dollars de bourses attribu\u00e9 aux chercheurs a \u00e9t\u00e9 franchi depuis que le programme a \u00e9t\u00e9 transf\u00e9r\u00e9 \u00e0 HackerOne en 2016. Au cours de la seule ann\u00e9e derni\u00e8re, GitHub a vers\u00e9 plus de la moiti\u00e9 du total de ses bourses, soit des r\u00e9compenses d\u2019un montant total de pr\u00e8s de 590 000 dollars pour l’ensemble de ses\u00a0 programmes.\u00a0<\/span><\/p>\n

R\u00e9capitulatif 2019\u00a0<\/span><\/a><\/h2>\n

Les \u201cCool bugs\u201d\u00a0<\/span><\/p>\n

Les meilleures soumissions re\u00e7ues de la part de la communaut\u00e9 d\u00e9montrent pour la plupart une compr\u00e9hension de GitHub et de sa technologie qui va jusqu\u2019\u00e0 rivaliser avec celle des ing\u00e9nieurs de l\u2019entreprise. Pour attirer ces individus talentueux et les inciter \u00e0 passer du temps \u00e0 creuser en profondeur dans sa base de donn\u00e9es, GitHub a offert des primes tr\u00e8s comp\u00e9titives.\u00a0\u00a0<\/span><\/p>\n

Contournement du flow d’OAuth en utilisant des requ\u00eates HEAD intersites<\/span><\/p>\n

GitHub offre aux int\u00e9grateurs diff\u00e9rents moyens d’interagir avec son\u00a0 \u00e9cosyst\u00e8me. L’une des mani\u00e8res dont ceux-ci peuvent utiliser GitHub est d\u2019avoir recours aux applications OAuth. Celles-ci permettent de mener des actions au nom d’un utilisateur GitHub. Avant d\u2019accorder\u00a0 l’acc\u00e8s aux donn\u00e9es, une application OAuth redirige l’utilisateur vers GitHub.com, lui permettant de v\u00e9rifier ces demandes\u00a0 et d’autoriser explicitement l’application.\u00a0<\/span><\/p>\n

Ex\u00e9cution de code \u00e0 distance sur GitHub.com par injection de commandes<\/span><\/p>\n

@ajxchapman a r\u00e9ussi \u00e0 ex\u00e9cuter du code \u00e0 distance dans GitHub.com en d\u00e9clenchant l’injection de commandes dans la fonction d’import Mercurial. La logique d’import n’a pas correctement aseptis\u00e9 les noms de branches, ce qui a permis \u00e0 un nom de branche malveillant d’ex\u00e9cuter du code sur les serveurs de GitHub. Comme la fonction d’import est assez compliqu\u00e9e, le code est habituellement ex\u00e9cut\u00e9 dans un bac \u00e0 sable (SandBox) sur des serveurs d\u00e9di\u00e9s, isol\u00e9s du r\u00e9seau de production de GitHub. Cette isolation a limit\u00e9 l’impact de la vuln\u00e9rabilit\u00e9. Un correctif a donc pu \u00eatre rapidement publi\u00e9 pour GitHub.com. Correctif qui a ensuite \u00e9t\u00e9 r\u00e9tro port\u00e9 pour les clients de GitHub Enterprise Server. GitHub a \u00e9galement v\u00e9rifi\u00e9 la pr\u00e9sence de probl\u00e8mes similaires dans la logique d’import et a pu confirmer, gr\u00e2ce \u00e0 ses journaux syst\u00e8mes, que celle-ci n’avait\u00a0 pas \u00e9t\u00e9 exploit\u00e9e en production.<\/span><\/p>\n

Ce qui rend ce bug particuli\u00e8rement int\u00e9ressant est son origine. Il\u00a0 a \u00e9t\u00e9 caus\u00e9 par une d\u00e9pendance obsol\u00e8te. Le bug existait dans une d\u00e9pendance qui g\u00e8re les imports de code. Il avait d\u00e9j\u00e0\u00a0 \u00e9t\u00e9 corrig\u00e9 en amont. Cependant, GitHub n’avait pas r\u00e9ussi \u00e0 rester \u00e0 jour avec la derni\u00e8re version, ce qui avait fini par rendre les applications vuln\u00e9rables \u00e0 ce probl\u00e8me. Ce bug souligne \u00e0 quel point la gestion des d\u00e9pendances est essentielle pour le succ\u00e8s d’un programme de s\u00e9curit\u00e9 dans son ensemble. GitHub continue \u00e0 investir dans des outils de gestion des d\u00e9pendances pour assurer la s\u00e9curit\u00e9 de l\u2019entreprise et celle de ses\u00a0 clients.\u00a0<\/span><\/p>\n

Un champ \u00e9largi<\/span><\/p>\n

GitHub a publi\u00e9 de nombreuses nouvelles fonctionnalit\u00e9s en 2019. Celles-ci ont \u00e9t\u00e9 ajout\u00e9es au champ de son programme Security Bug Bounty :<\/span><\/p>\n