Clone2Leak : comment des failles Git font fuiter vos identifiants ?
Des failles de sécurité importantes découvertes dans GitHub Desktop et d'autres outils Git exposent les identifiants des utilisateurs ! Faisons le point sur cette menace potentielle surnommée Clone2Leak.
- Cours en ligne - Git : apprendre à faire de la gestion de versions
Des vulnérabilités qui exposent les identifiants Git
Une série de vulnérabilités de sécurité, baptisée "Clone2Leak", a été identifiée par le chercheur japonais RyotaK de GMO Flatt Security. Elles affectent des outils liés au système de gestion de versions Git. En exploitant ces vulnérabilités, un attaquant peut compromettre les mots de passe et les jetons d'accès dans GitHub Desktop, Git LFS, GitHub CLI/Codespaces et GitHub Credential Manager.
Derrière les attaques Clone2Leak se cachent 4 vulnérabilités :
- CVE-2025-23040 (score CVSS : 6.6) : fuite d'identifiants dans GitHub Desktop via des URL malveillantes.
- CVE-2024-50338 (score CVSS : 7.4) : injection de caractères spéciaux dans Git Credential Manager.
- CVE-2024-53263 (score CVSS : 8.5) : absence de contrôle des caractères dans Git LFS, exposant des identifiants via des URL manipulées.
- CVE-2024-53858 (score CVSS : 6.5) : fuite de tokens d’authentification lors de clonages récursifs avec GitHub CLI.
Ces failles exploitent des faiblesses dans les helpers d'authentification utilisés pour stocker et récupérer des identifiants, notamment lorsque Git interagit avec des dépôts distants. Ce qui permet d'éviter de saisir les informations d'authentification à chaque opération Git. Ainsi, les attaquants peuvent inciter Git à divulguer les informations d'identification lorsqu'un utilisateur interagit avec un référentiel malveillant ou qu'il effectue un clone de ce dernier.
Par ailleurs, les applications GitHub Desktop et Git Credential Manager interprètent mal les retours chariot (\r) dans les URL. Ce qui ouvre la porte à une seconde technique d'attaque, lorsqu'une URL manipulée incite l'assistant d'identification à envoyer les identifiants GitHub à un serveur contrôlé par l'attaquant au lieu de l'hôte prévu.
Enfin, Git LFS autorise de manière inappropriée l'ajout de nouvelles lignes (\n) dans les fichiers ".lfsconfig", ce qui permet à un attaquant de contourner la sécurité de Git. Là encore, les attaquants peuvent parvenir à voler les identifiants GitHub, puisque Git va retourner les informations au mauvais serveur.
Au total, Clone2Leak est associée à trois techniques d'attaques basées sur l'exploitation de ces failles de sécurité.
Comment se protéger des failles Clone2Leak ?
En réponse à la découverte de ces failles de sécurité, plusieurs correctifs ont été déployés dans les applications affectées. Pour vous protéger, vous devez utiliser les versions suivantes des applications (ou une version supérieure) :
- GitHub Desktop 3.4.12
- Git Credential Manager 2.6.1
- Git LFS 3.6.1
- gh cli 2.63.0
En complément, et comme l'explique le chercheur en sécurité RyotaK, il est recommandé d'activer la fonction "credential.protectProtocol" dans les paramètres de Git. "Lorsque la configuration credential.protectProtocol est définie sur true, Git rejette une URL qui contient le caractère retour de chariot.", peut-on lire.
