GitHub a demandé aux utilisateurs de configurer une authentification à deux facteurs pour leurs comptes et de réinitialiser les mots de passe pour les comptes compromis suite à une attaque par brute force massive, réalisée par le biais de 40 000 adresses IP différentes.
“Nous avons envoyé un mail aux utilisateurs dont les comptes ont été compromis pour leur faire savoir ce qu’il faut faire. Leurs mots de passe ont été réinitialisés et les jetons personnels d’accès, les autorisations OAuth, et les clés SSH ont tous été révoqués.“, indique l’équipe responsable du site.
Voila encore une fois une attaque qui démontre le risque de tel services, où les développeurs laissent tout leur travail… Cependant, GitHub utilise l’algorithme bcrypt pour hacher les mots de passe, qui est extrêmement résistant contre les attaques par force brute, car il faut énormément de temps pour craquer chaque mot de passe. Dans un billet de blog, l’ingénieur Shawn Davenport de GitHub a déclaré qu’une attaque par brute force de près de 40 000 adresses IP a réussie à craquer certains mots de passe couramment utilisés.
En plus des exigences de résistance normales comme la longueur ou l’utilisation de caractères spéciaux, ils ont interdit les chaines fréquemment utilisées et reconnues comme faibles. Cela a du bien atténuer les dégâts.
“Une enquête est en cours et nous vous informerons si, à tout moment, nous découvrons toute activité non autorisée relatives au code source ou à des informations de compte sensibles. “
Le nombre exact de comptes GitHub compromis n’a pas été divulgué, mais maintenant la page d’inscription de GitHub explique que les mots de passe doivent faire au moins sept caractères et avoir au moins une lettre minuscule et un chiffre. Cela est un bon rappel de toujours choisir un mot de passe fort, qui sera difficile à casser, à savoir l’utilisation d’un mélange de chiffres, de lettres et de mots absents des dictionnaires. De plus, ce dernier devra être unique pour chacun des services que vous utilisez !