Name: Tremplin Numérique
Price range: $$$

Les projets open source sont un élément essentiel de chaque système d'exploitation, et de nombreux logiciels sont soit open source, soit s'appuient sur des projets open source pour fonctionner. Mais que se passe-t-il lorsque ces projets sont compromis par un acteur malveillant ? GitHub prend des mesures pour empêcher cela.

Normalement, lorsque vous téléchargez un projet sur GitHub, vous êtes libre de modifier ce code à tout moment. Dans de nombreux cas, cela a du sens : quelque chose en cours de développement actif devra généralement être mis à jour, ajusté et débogué au fil du temps.

Cependant, cette possibilité de mettre à jour le code après son placement dans un référentiel constitue également un vecteur d’attaque tentant pour un acteur malveillant. S'ils peuvent compromettre le compte du propriétaire du référentiel (ou de toute autre personne autorisée à apporter des modifications), ils peuvent remplacer le code existant légitime par quelque chose contenant un logiciel malveillant ou une vulnérabilité de sécurité exploitable.

Ce n’est pas non plus une préoccupation purement théorique. Les propriétaires de projets populaires sur GitHub sont des cibles attractives pour les acteurs malveillants, et ils sont parfois compromis. Cela arrive relativement fréquemment aux petits projets GitHub qui sont populaires dans les communautés de niche. Si ces projets sont ensuite intégrés à d’autres projets, tout ce qui est « en aval » du projet initial pourrait être compromis.

Si cela devait arriver à un projet intégré à un système d’exploitation, cela pourrait affecter des millions, voire des milliards de personnes.

Alors, comment éviter que cela se produise ?

Vous ne créerez jamais un moyen infaillible pour empêcher les pirates informatiques d'accéder au compte de quelqu'un : l'ingénierie sociale fonctionnera toujours, au moins. Au lieu de cela, GitHub a choisi de se concentrer sur le code lui-même en le rendant immuable.

Cela signifie qu'une fois le code téléchargé sur GitHub et la fonctionnalité immuable activée, personne, pas même le propriétaire, ne peut revenir et apporter discrètement une modification plus tard. Il permet également aux utilisateurs de vérifier manuellement que le code qu'ils téléchargent correspond au code d'origine, juste au cas où. Cela signifie que même si quelqu'un obtient un contrôle total sur le compte du propriétaire du référentiel, il ne pourra pas ajouter, modifier ou supprimer le code existant à ses propres fins néfastes.

Il s’agit d’un excellent ajout qui rendra les grands projets open source plus sûrs à l’avenir, à condition que les gens prennent la peine de l’activer.