scroll

Vulnérabilité critique dans GitHub Enterprise Server : analyse, impact et mesures correctives

Sommaire

Introduction

Le CERT-FR a publié un avis (CERTFR-2025-AVI-0837) signalant une vulnérabilité de sécurité critique identifiée dans GitHub Enterprise Server (GHES), une plateforme largement utilisée pour l'hébergement de projets de développement collaboratif. Ce défaut technique concerne une mauvaise gestion de l’authentification via SAML lorsque la configuration repose sur l’option `allow-insecure-login`. Celle-ci, activée par défaut, introduit un vecteur d’attaque permettant à un utilisateur malveillant d’accéder à des contenus censés être restreints.

Description de la vulnérabilité

La vulnérabilité, identifiée sous la référence CVE-2024-4985, touche spécifiquement GitHub Enterprise Server dans sa version 3.13.0. Elle permet à un acteur non autorisé d’accéder à des dépôts privés sans authentification valide, dans le cadre d'une configuration permissive de l'authentification SAML. L’élément en cause est l’activation du paramètre `allow-insecure-login`, qui permet, dans certaines conditions, une dérive des contrôles d’accès initialement établis. Cela contrevient au principe de moindre privilège, fondamental en cybersécurité.

Impact de la faille

Les conséquences d’une telle vulnérabilité peuvent être majeures sur la confidentialité, l’intégrité et la disponibilité des ressources hébergées sur GHES. La fuite potentielle de code source confidentiel, la compromission de projets métiers critiques ou encore la perturbation de processus DevOps sont autant de risques identifiés. Étant donné que GitHub est souvent le socle de projets sensibles, notamment dans les entreprises du numérique et les administrations, cette faille mérite une attention immédiate. Le CERT-FR classe cette vulnérabilité comme critique, soulignant la nécessité d'agir rapidement.

Mesures correctives proposées

GitHub a publié une mise à jour de sécurité à destination de GHES, passant de la version 3.13.0 (vulnérable) à la version 3.13.1 (corrigée). Il est recommandé de mettre à jour les instances dans les plus brefs délais. De plus, le CERT-FR préconise de :

  • Désactiver l’option `allow-insecure-login` si elle est active, ou vérifier son état de configuration.
  • Restreindre l’accès SAML aux seuls domaines approuvés.
  • Auditer les journaux d’accès pour identifier d’éventuels comportements suspects dans les jours ayant précédé la mise à jour.

Il est également conseillé de procéder à une revue complète des permissions des utilisateurs et des rôles d’administration sur les projets hébergés.

Bonnes pratiques pour se prémunir

Au-delà de la correction immédiate, cet incident est l’occasion de rappeler les bonnes pratiques de gestion des identités et des accès :

  • Mettre en œuvre une authentification multi facteurs (MFA) obligatoire pour tous les utilisateurs.
  • Vérifier régulièrement l’état des configurations de sécurité dans les outils DevOps.
  • Limiter les privilèges au strict nécessaire (principe du moindre privilège).
  • Mettre en place un système de veille de sécurité pour rester informé des vulnérabilités sur les logiciels utilisés.

Conclusion

La faille CVE-2024-4985 mettant en cause GitHub Enterprise Server démontre une fois encore l’importance d’un suivi rigoureux des mises à jour de sécurité sur les outils critiques de l’entreprise. Bien que la vulnérabilité requière une condition de configuration spécifique, sa criticité impose de vérifier immédiatement l’état des installations concernées. Entreprises et DSI doivent redoubler de vigilance, notamment sur les paramètres par défaut laissés actifs, et adopter une posture proactive en matière de cybersécurité.

Thématique : Cybersécurité - Vulnérabilités logicielles

Sujet principal : Vulnérabilité critique dans GitHub Enterprise Server

Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0837/