« Dans le monde du numérique, même vos jetons peuvent s’envoler. » – Anonyme, probablement un développeur après avoir perdu ses identifiants.
Mintlify, une jeune pousse dédiée à la documentation pour les développeurs, s’est retrouvée dans une situation délicate plus tôt ce mois-ci. La promesse de Mintlify ? Aider les développeurs à créer de la documentation pour leurs logiciels et codes-source en plongeant directement dans leurs dépôts GitHub. Très pratique, si ce n’est que récemment, Mintlify a dû se gratter la tête en découvrant qu’une faille dans leurs propres systèmes avait laissé filer comme des petits pains les tokens GitHub de 91 de leurs clients !
Un token GitHub, c’est un peu comme une laisse que vous donneriez à Mintlify pour promener votre chien en toute sécurité. Mais si quelqu’un coupe la laisse et prend le chien, imaginez le désastre ! Eh bien, Mintlify a vu 91 laisses se faire trancher par une faille de sécurité, exposant ainsi potentiellement le précieux code-source des clients à des promeneurs beaucoup moins bien intentionnés.
« Mintlify se retrouve dans la lune, mais pas ses clients sus la brune ! »
Le co-fondateur de Mintlify, Han Wang, n’a pas perdu de temps pour informer les clients et travailler de concert avec GitHub afin de déterminer si ces fameux tokens avaient servi à accéder illicitement à des détails croustillants des dépôts privés. Imaginez la scène, vous recevez un beau matin un email vous informant que votre laisse a été possiblement coupée; la panique s’installe !
Cette nouvelle a été rendue publique plus d’une semaine après l’incident initial, grâce aux bons offices de quelques utilisateurs perspicaces sur Reddit et Hacker News qui n’ont pas manqué de partager leur mésaventure. Vous imaginez bien que la surprise fut de taille, surtout après que le poste blog de Mintlify ait initialement signalé que « aucune action supplémentaire n’était requise. »
Concernant la fuite, elle ne concerne pas seulement les tokens, mais également des informations sensibles d’utilisateurs, suite à une bévue laissant fuiter les identifiants admin de Mintlify. Vous imaginez, comme laisser les clés de la maison sous le paillasson… Wang a toutefois promis une balade moins risquée à l’avenir, en déclarant que l’usage des tokens privés serait bientôt du passé.
Qu’il s’agisse d’une initiative malveillante ou d’une découverte opportune par un chercheur de bugs, une chose est sûre: les tokens des utilisateurs étaient dans le collimateur. Wang a précisé que pour le moment, aucun usage malicieux du token fuité n’a été identifié chez un client impacté. Les investigations continuent avec GitHub pour déterminer l’ampleur de la promenade non autorisée.
En tout cas, on peut espérer que Mintlify et ses clients retrouveront rapidement un horizon serein pour leurs promenades numériques. Et souvenez-vous, en matière de sécurité informatique, mieux vaut tenir sa laisse… avant de se retrouver en laisse !
Source : Techcrunch