Général
À Savoir : Les Données des Repos GitHub Supprimés Pourraient Ne Pas Être Vraiment Effacées !
Des chercheurs de Truffle Security ont récemment mis en lumière une vulnérabilité inquiétante sur GitHub : les données des dépôts supprimés ne sont pas toujours effacées. Joe Leon, chercheur en sécurité, a introduit le terme Cross Fork Object Reference (CFOR) pour décrire ce risque. Imaginez pouvoir accéder à des clés API sensibles même après la suppression d’un dépôt ! Cette situation soulève des questions cruciales sur la sécurité des données et la confiance que nous plaçons dans les plateformes de développement. Ne manquez pas de découvrir les implications de cette découverte !
Des chercheurs de Truffle Security ont récemment mis en lumière, ou plutôt redécouvert, que les données provenant de dépôts GitHub supprimés (qu’ils soient publics ou privés) ainsi que celles des copies supprimées (forks) de ces dépôts ne sont pas nécessairement effacées.
Joe Leon, un chercheur en sécurité de l’entreprise, a déclaré dans un avis publié mercredi que l’accès aux données de dépôts supprimés – comme les clés API – constitue un risque pour la sécurité. Il a proposé un nouveau terme pour décrire cette vulnérabilité présumée : Référence d’Objet de Fork Croisé (ROFC).
« Une vulnérabilité ROFC se produit lorsqu’un fork d’un dépôt peut accéder à des données sensibles d’un autre fork (y compris celles de forks privés et supprimés) », a expliqué Leon.
Par exemple, l’entreprise a démontré comment il est possible de forker un dépôt, d’y ajouter des données, de supprimer le fork, puis d’accéder aux données de commit censées être supprimées via le dépôt d’origine.
Les chercheurs ont également créé un dépôt, l’ont forké, et ont montré comment des données non synchronisées avec le fork restent accessibles à travers celui-ci même après la suppression du dépôt d’origine. Vous pouvez visionner cette démonstration ci-dessous.
Vidéo YouTube
Selon Leon, ce scénario a été mis en lumière la semaine dernière lors de la soumission d’un rapport de vulnérabilité critique à une grande entreprise technologique, impliquant une clé privée pour un compte GitHub d’employé ayant un accès étendu à l’organisation. Cette clé avait été publiquement engagée dans un dépôt GitHub. En prenant conscience de l’erreur, l’entreprise a supprimé le dépôt, pensant que cela résoudrait le problème de fuite.
« Ils ont immédiatement supprimé le dépôt, mais comme il avait été forké, j’ai pu accéder au commit contenant les données sensibles via un fork, même si ce fork n’avait jamais été synchronisé avec le dépôt d’origine », a expliqué Leon.
Leon a ajouté qu’après avoir examiné trois dépôts publics largement forkés d’importantes entreprises d’IA, les chercheurs de Truffle Security ont trouvé 40 clés API valides provenant de forks supprimés.
Les forks en question
Il est clair que cela pose un problème. Cependant, ce n’est pas un problème que GitHub considère comme une vulnérabilité légitime. En fait, le géant de l’hébergement de code, propriété de Microsoft, le considère comme une fonctionnalité, et non comme un bug.
Lorsqu’il a été informé de la situation par le biais de son Programme de Divulgation de Vulnérabilités, GitHub a répondu : « C’est une décision de conception intentionnelle et cela fonctionne comme prévu, comme indiqué dans notre [documentation]. »
C’est une décision de conception intentionnelle et cela fonctionne comme prévu
Cela, manifestement, est connu depuis des années. Une personne prétend avoir informé GitHub de cette vulnérabilité en 2018 et avoir reçu une réponse similaire.
Dans une interview téléphonique avec The Register, Dylan Ayrey, co-fondateur et PDG de Truffle Security, a expliqué que le problème réside dans ce qu’on appelle un commit suspendu.
« Un commit suspendu est un élément fondamental de Git », a expliqué Ayrey. « Ce n’est pas un élément spécifique à GitHub. Ainsi, un commit suspendu peut exister sur n’importe quelle plateforme Git – Bitbucket, GitLab, GitHub, etc. Un commit suspendu se trouve dans un dépôt de code donné, où vous avez un arbre représentant l’historique de ce projet, donc toutes les anciennes versions du code qui sont liées entre elles. »
Un commit Git capture un instantané de l’état d’un dépôt à un moment donné, y compris les modifications apportées au code et aux données. Chaque commit est identifié de manière unique par un hachage cryptographique. Bien que la suppression d’une branche, par exemple, retire la référence à une chaîne de commits particulière, les commits eux-mêmes ne sont pas supprimés de la base de données d’objets du dépôt.
« Ces commits suspendus sont comme une partie fondamentale documentée de Git lui-même », a déclaré Ayrey, qui a expliqué que la manière dont les plateformes Git gèrent les commits suspendus est une décision de plateforme plutôt qu’une spécification de Git.
Bitbucket, GitLab et GitHub, a déclaré Ayrey, conservent ces commits même lorsque la connexion à l’arbre de code est rompue. Si vous avez l’identifiant pour y accéder directement, vous pouvez toujours télécharger les données associées.
- Oups. Apple s’est appuyé sur un code défectueux tout en critiquant la technologie publicitaire Topics de Google Chrome
- Les mois et jours avant et après le vendredi fatal de CrowdStrike
- Kaspersky affirme que l’oncle Sam a snobé une proposition d’ouverture de son code à un examen tiers
- Oubliez la sécurité – le reCAPTCHA v2 de Google exploite les utilisateurs à des fins de profit
Ayrey a déclaré que cela est largement connu. Mais il existe un problème connexe concernant les forks – dépôts copiés – qui est plus spécifique à GitHub. Les forks, a-t-il expliqué, ne font pas partie de la spécification Git, donc chaque plateforme a sa propre mise en œuvre.
Ayrey a précisé que pour GitHub, les commits suspendus peuvent être téléchargés via un fork si vous avez le hachage identifiant, ou une partie de celui-ci.
« Si vous avez l’identifiant, vous pouvez les télécharger depuis le dépôt où ils ont été initialement poussés », a-t-il expliqué. « Il s’avère que vous pouvez également les télécharger à travers n’importe quel fork de ce dépôt. Et cela fonctionne dans les deux sens. Ainsi, depuis le parent, vous pouvez télécharger ce commit suspendu depuis le fork et depuis le fork, vous pouvez télécharger ce commit suspendu depuis le parent. »
« Ce que nous avons découvert, c’est que même si vous supprimez le parent, et que le commit a été poussé vers le parent, ce commit suspendu non seulement continue d’exister, mais vous pouvez le télécharger à travers l’enfant même s’il a été poussé vers le parent, qu’il n’a jamais été tiré dans l’enfant, et que le parent a été supprimé, vous pouvez maintenant accéder à ce commit suspendu. »
Ce commit suspendu non seulement continue d’exister, vous pouvez le télécharger à travers l’enfant même s’il a été poussé vers le parent
De plus, Ayrey a expliqué qu’il n’est même pas nécessaire d’avoir le hachage identifiant complet pour accéder au commit. « Si vous connaissez les quatre premiers caractères de l’identifiant, GitHub complétera presque automatiquement le reste de l’identifiant pour vous », a-t-il déclaré, notant qu’avec seulement soixante-cinq mille combinaisons possibles pour ces caractères, c’est un nombre suffisamment petit pour tester toutes les possibilités.
Interrogé sur les risques que cela présente, Ayrey a mentionné qu’il existe un archive des événements GitHub qui enregistre toutes les actions publiques sur la plateforme. Et il a ajouté que tout comme l’archive de tweets de la Sunlight Foundation pourrait être utilisée pour rechercher des déclarations publiques sur les réseaux sociaux, l’archive des événements de GitHub peut être utilisée pour des enquêtes judiciaires sur les activités des entreprises technologiques.
« Si [les entreprises technologiques] suppriment du code, si elles font tout leur possible pour supprimer quelque chose, cela ne signifie pas toujours quelque chose », a-t-il expliqué. « Mais souvent, cela signifie quelque chose. Cela pourrait signifier qu’une clé ou un mot de passe a été exposé. Cela pourrait signifier qu’elles ont accidentellement poussé un ensemble de données d’apprentissage automatique. Nous avons déjà vu cela. Ou cela pourrait signifier – et c’est rare – qu’un attaquant a réellement introduit une porte dérobée dans leur projet et qu’elles étaient un peu embarrassées à ce sujet… donc elles ont simplement supprimé la porte dérobée. »
Interrogé sur la manière dont GitHub devrait réagir, Ayrey a réfléchi : « Si une plateforme crée une vulnérabilité, la documente et explique que c’est quelque chose dont vous devez être conscient, est-ce que cela en fait moins une vulnérabilité ? »
« Ce que je recommanderais probablement, si je travaillais là-bas, c’est que ce pool de forks ne soit pas partagé entre les forks, que les commits que vous poussez vers un fork ne puissent pas être téléchargés à travers un autre fork. L’autre chose que je recommanderais probablement serait de créer une nouvelle fonctionnalité permettant de supprimer définitivement les commits et non simplement de les laisser suspendus. »
Truffle Security soutient que GitHub devrait reconsidérer sa position, car l’utilisateur moyen s’attend à ce qu’il y ait une distinction entre les dépôts publics et privés en termes de sécurité des données, ce qui n’est pas toujours vrai. Il y a également l’attente que l’acte de suppression devrait éliminer les données de commit, ce qui, encore une fois, a été prouvé ne pas toujours être le cas.
Un porte-parole de GitHub a déclaré à The Register : « GitHub s’engage à enquêter sur les problèmes de sécurité signalés. Nous sommes conscients de ce rapport et avons validé qu’il s’agit d’un comportement attendu et documenté inhérent à la manière dont fonctionnent les réseaux de forks. Vous pouvez en savoir plus sur la manière dont la suppression ou le changement de visibilité affecte les forks de dépôts dans notre documentation. »
Général
Anker SOLIX dévoile la Solarbank 2 AC : la nouvelle ère du stockage d’énergie ultra-compatible !
Découvrez le Solarbank 2 AC, une véritable révolution dans le domaine de l’énergie solaire ! Grâce à ses batteries au phosphate de fer lithium, ce système s’adapte parfaitement à vos besoins. Avec une puissance impressionnante de 2400 watts et la possibilité d’ajouter jusqu’à cinq batteries supplémentaires, il assure un stockage optimal. Sa compatibilité avec le compteur Anker SOLIX Smart favorise une gestion intelligente de votre consommation énergétique. Ne ratez pas l’offre spéciale « early bird », disponible dès maintenant pour seulement 999 euros ! Saisissez cette chance unique !
Le Solarbank 2 AC : Une Révolution dans le Stockage Énergétique
Batteries au Lithium Fer Phosphate
Le Solarbank 2 AC se démarque par l’utilisation de batteries au lithium fer phosphate (LFP), reconnues pour leur sécurité et leur efficacité. Ce modèle est particulièrement innovant grâce à son système de couplage alternatif, qui lui permet de s’adapter facilement à divers systèmes solaires déjà en place.Que ce soit pour des installations sur toiture, des systèmes solaires compacts pour balcons ou d’autres configurations réduites, il peut fonctionner avec un micro-onduleur de 800 Watts.
Capacité et flexibilité Énergétique
Avec une capacité maximale d’injection dans le réseau domestique atteignant 1200 watts,le Solarbank 2 AC peut être associé à deux régulateurs solaires MPPT. Cela ouvre la possibilité d’ajouter jusqu’à 1200 watts supplémentaires via des panneaux solaires additionnels, portant ainsi la puissance totale à un impressionnant 2400 watts. Pour les utilisateurs nécessitant davantage de stockage énergétique, il est possible d’intégrer jusqu’à cinq batteries supplémentaires de 1,6 kilowattheure chacune, augmentant la capacité totale à 9,6 kilowattheures.
Intégration dans un Écosystème Intelligent
Le Solarbank 2 AC s’intègre parfaitement dans un écosystème énergétique intelligent grâce à sa compatibilité avec le compteur Anker SOLIX Smart et les prises intelligentes proposées par Anker. cette fonctionnalité permet une gestion optimisée de la consommation électrique tout en réduisant les pertes énergétiques inutiles. De plus, Anker SOLIX prévoit d’étendre cette compatibilité aux dispositifs Shelly.
Durabilité et Résistance aux Intempéries
Anker SOLIX met également l’accent sur la longévité du Solarbank 2 AC. Conçu pour supporter au moins 6000 cycles de charge, cet appareil a une durée de vie estimée dépassant quinze ans. Il est accompagné d’une garantie fabricant décennale et possède une certification IP65 qui assure sa résistance face aux intempéries tout en étant capable de fonctionner dans des températures variant entre -20 °C et +55 °C.
Disponibilité et Offres Promotionnelles
Le solarbank 2 AC est disponible sur le site officiel d’Anker SOLIX ainsi que sur Amazon au prix standard de 1299 euros. Cependant, une offre promotionnelle « early bird » sera active du 20 janvier au 23 février 2025, permettant aux acheteurs intéressés d’acquérir cet appareil dès 999 euros ! Cette promotion inclut également un compteur Anker SOLIX Smart offert pour chaque commande passée durant cette période spéciale.
le Solarbank 2 AC représente une avancée significative dans le domaine du stockage énergétique domestique grâce à ses caractéristiques techniques avancées et son engagement envers la durabilité environnementale.
Business
Une formidable nouvelle pour les conducteurs de voitures électriques !
Excellente nouvelle pour les conducteurs de véhicules électriques ! La recharge gratuite sur le lieu de travail sera exonérée d’impôts jusqu’en 2025. Annoncée par le ministère de l’Économie, cette mesure incitative, en place depuis 2020, s’inscrit dans une dynamique de croissance impressionnante avec une progression annuelle moyenne de 35%. Les entreprises peuvent ainsi offrir des bornes de recharge sans impact fiscal, stimulant la transition écologique. Reste à savoir si cela suffira à convaincre les entreprises hésitantes et à propulser l’électrification des flottes professionnelles vers un avenir durable.
Technologie
Recharge Électrique au Bureau : Une Exonération Fiscale Renouvelée
Les détenteurs de véhicules électriques et leurs employeurs peuvent se réjouir : la possibilité d’effectuer des recharges gratuites sur le lieu de travail sera exonérée d’impôts jusqu’en 2025. Cette décision, annoncée par le ministère des Finances, prolonge une initiative lancée en 2020 pour encourager l’adoption des véhicules électriques dans les entreprises.
Un Secteur en Croissance Dynamique
Cette prolongation intervient à un moment clé, alors que le marché des voitures électriques continue d’afficher une croissance remarquable. Entre 2020 et 2022, la progression annuelle moyenne a atteint 35%. En 2023, les particuliers représentent désormais 84% des acquisitions de véhicules électriques, contre seulement 68% en 2018.
Concrètement,cette mesure permet aux sociétés d’installer gratuitement des bornes de recharge pour leurs employés sans impact fiscal. Les frais liés à l’électricité pour ces recharges ne seront pas pris en compte dans le calcul des avantages en nature. De plus, un abattement de 50% sur ces avantages est maintenu avec un plafond révisé à environ 2000 euros pour l’année prochaine.
Accélération Vers une Mobilité Électrique
Cette initiative fait partie d’une stratégie globale visant à promouvoir l’électrification du parc automobile français. Cependant, les grandes entreprises rencontrent encore des difficultés pour atteindre leurs objectifs ; seulement 8% des nouveaux véhicules immatriculés par ces entités étaient électriques en 2023. Ces incitations fiscales pourraient néanmoins inciter davantage d’employeurs à franchir le pas.Cependant, plusieurs défis demeurent concernant les infrastructures nécessaires au chargement ainsi que sur l’autonomie des véhicules et les perceptions parmi les employés. Par ailleurs, la réduction progressive du bonus écologique pour les utilitaires et sa diminution pour les particuliers pourraient freiner cet élan vers une adoption plus large.
Avenir Prometteur Pour La Mobilité Électrique
Malgré ces obstacles potentiels, il existe un optimisme quant au futur de la mobilité électrique dans le milieu professionnel. Les avancées technologiques continues ainsi qu’un engagement croissant envers la durabilité devraient continuer à favoriser cette tendance vers une adoption accrue des véhicules écologiques.
En maintenant ces mesures fiscales avantageuses jusqu’en 2025 et au-delà, le gouvernement délivre un message fort soutenant la transition écologique dans le secteur du transport. Reste maintenant à voir si cela suffira réellement à convaincre certaines entreprises hésitantes et si cela permettra d’accélérer significativement l’électrification de leurs flottes professionnelles dans un avenir proche.
Divertissement
« À la rencontre d’un Hugo : une aventure inattendue »
Le prénom, un véritable reflet de notre identité, peut être à la fois lourd à porter et source de fierté. Dans cette chronique fascinante, le réalisateur Hugo David nous plonge dans son expérience avec un prénom très répandu. Né en 2000, il se retrouve entouré d’autres Hugo, ce qui l’amène à adopter un alias : Hugo D.. Comment ce choix a-t-il influencé son parcours ? Explorez les nuances et les histoires derrière nos prénoms et découvrez comment ils façonnent nos vies dès l’enfance jusqu’à l’âge adulte !
Les Prénoms : Un Voyage au Cœur de l’Identité
Le Rôle Crucial des Prénoms dans nos Existences
Chaque personne possède un prénom, qu’il soit courant ou singulier, et ce dernier peut engendrer à la fois fierté et embarras. Cet article explore la signification profonde et l’influence des prénoms sur notre vie quotidienne. Le réalisateur Hugo David partage son vécu avec un prénom qui a connu une forte popularité durant sa jeunesse.
une Naissance Sous le Signe de la Célébrité
Hugo David est né en 2000 à Tours, une époque où le prénom Hugo était en plein essor. Ses parents, Caroline et Rodolphe, avaient envisagé d’autres choix comme Enzo, également très en vogue à cette période. « Je pense que mes parents ont opté pour un prénom parmi les plus répandus en France plutôt qu’en hommage à Victor Hugo », confie-t-il.
Une Enfance Entourée d’Autres « Hugo »
Dès son plus jeune âge, Hugo se retrouve entouré d’autres enfants portant le même nom. Selon les statistiques de l’Insee,7 694 garçons ont été prénommés Hugo en 2000,faisant de ce prénom le quatrième plus populaire cette année-là. À l’école primaire,il côtoie plusieurs camarades appelés Thibault et autres prénoms similaires. Pour éviter toute confusion lors des appels en classe, les enseignants ajoutent souvent la première lettre du nom de famille après le prénom : ainsi devient-il rapidement « Hugo D. », un surnom auquel il s’habitue sans arduousé.
Pensées sur l’Identité Associée au Prénom
Le choix d’un prénom peut avoir un impact significatif sur notre identité personnelle tout au long de notre existence. Que ce soit pour se distinguer ou pour s’intégrer dans un groupe social spécifique, chaque individu développe une relation particulière avec son propre nom.
les prénoms ne sont pas simplement des désignations ; ils portent avec eux des récits et influencent nos interactions sociales depuis notre enfance jusqu’à l’âge adulte.
-
Général6 mois agoX (anciennement Twitter) permet enfin de trier les réponses sur iPhone !
-
Business5 mois agoComment lutter efficacement contre le financement du terrorisme au Nigeria : le point de vue du directeur de la NFIU
-
Général5 mois agoL’Inter brille de mille feux face à Man City – Inzaghi enflamme le match !
-
Technologie5 mois agoLe PDG de Broadcom anticipe la montée en puissance des hyperscalers avec des clusters d’un million d’accélérateurs !
-
Science et nature5 mois agoUne OLED révolutionnaire pour une vision nocturne compacte et légère !
-
Divertissement5 mois agoRésumé de l’épisode 2 de « Agatha All Along » : Plongée dans le monde des sorcières !
-
Général5 mois agoLes scientifiques redéfinissent l’avenir scientifique de l’Afrique lors de la 15e conférence de l’AAS à Abuja
-
Général5 mois agoJáder Obrian marque à la 47e minute et propulse Austin FC en tête 1-0 face à LAFC !