FR|EN
L'essentiel de la tech, chaque jour
FR|EN
Cybersécurité23 juin 2026· via The Hacker News

GitHub renforce la sécurité de actions/checkout contre les attaques de la chaîne d'approvi

GitHub renforce la sécurité de actions/checkout contre les attaques de la chaîne d'approvi

Image : The Hacker News

Une mise à jour de l'action populaire actions/checkout de GitHub doit être déployée le 18 juin 2026, visant à empêcher les attaquants d'abuser d'un déclencheur de workflow courant mais dangereux pour injecter et exécuter du code malveillant avec des privilèges élevés. Ce changement illustre les efforts continus de GitHub pour renforcer sa plateforme contre les risques liés à la chaîne d'approvisionnement logicielle, notamment ceux issus des workflows réagissant à des pull requests externes.

Pourquoi le déclencheur pull_request_target pose un problème de sécurité

Le déclencheur de workflow pull_request_target permet aux workflows de s'exécuter avec les permissions du dépôt, même si la pull request provient d'un fork — une fonctionnalité essentielle pour de nombreux projets open source. Cependant, cette commodité en fait aussi une cible privilégiée pour les attaquants. En soumettant une pull request spécialement conçue, un adversaire pourrait tromper un mainteneur pour exécuter du code malveillant dans le contexte du workflow du dépôt, risquant un accès non autorisé, une exfiltration de données ou une compromission supplémentaire de la chaîne d'approvisionnement logicielle.

Modifications apportées et impact sur les développeurs

Dès le mois prochain, la version mise à jour de actions/checkout bloquera par défaut les attaques par requête pwn, empêchant les workflows déclenchés par pull_request_target de s'exécuter s'ils tentent d'utiliser l'action pour récupérer le code. Ce changement concerne tout workflow reposant sur actions/checkout dans un contexte pull_request_target. Les développeurs concernés devront migrer leurs workflows vers actions/checkout@v4 ou une version ultérieure et adapter leurs configurations pour éviter d'utiliser directement l'action dans les déclencheurs pull_request_target. GitHub a indiqué qu'elle fournirait des conseils supplémentaires et des outils de migration pour faciliter la mise à jour des configurations.

Bien que cette mise à jour introduise une amélioration de sécurité nécessaire, elle souligne aussi le défi plus large de concilier flexibilité et sûreté dans les pipelines CI/CD. Avec l'évolution des attaques sur la chaîne d'approvisionnement logicielle, cette initiative de GitHub reflète une tendance industrielle plus large vers le renforcement des paramètres de sécurité par défaut, sans sacrifier la productivité des développeurs.

Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.

Lire la source originale sur The Hacker News →

← Retour à l'accueil