Docker Hub piraté !

Par:
fredericmazue

mar, 30/04/2019 - 16:11

Docker Hub, le dépôt officiel d'images de containers Docker, a été piraté. Docker n'a pas mis d'avis de sécurité en ligne sur son site, mais a envoyé un mail aux utilisateurs qui ont été touchés. Une copie de ce mail peut être lue sur divers forums. Par exemple ici.

En résumé, le mail dit ceci : Le jeudi 25 avril 2019, nous avons découvert un accès non autorisé à une base de données Hub unique stockant un sous-ensemble de données utilisateur non financières. Après cette découverte, nous avons agi rapidement pour sécuriser le site. [...]

Pendant une brève période d'accès non autorisé à une base de données Docker Hub, des données sensibles provenant d'environ 190 000 comptes environ ont peut-être été exposées (moins de 5% des utilisateurs). Les données comprennent les noms d'utilisateur et les mots de passe hachés pour un petit pourcentage de ces utilisateurs, ainsi que les jetons Github et Bitbucket pour les constructions automatiques de Docker.

Comme toujours dans un tel cas, l'entreprise piratée minimise :-) Mais Docker n'est peut-être pas aussi sûre que cela de son affaire, et demande également aux utilisateurs de consulter les journaux de connexion des comptes GitHub et Bitbucket pour vérifier tout accès non autorisé.

Bien sûr il est recommandé aux utilisateurs de changer leur mot de passe de comptes Docker Hub.

Docker se fend d'une autre recommandation : Pour les utilisateurs d'autobuild qui auraient pu être affectés, nous avons révoqué les jetons GitHub et les clés d'accès, et nous vous demandons de vous reconnecter à vos dépôts et de vérifier les journaux de sécurité pour voir si des actions imprévues ont eu lieu.

Changer les mots de passe, c'est bien, mais comme le fait remarquer notre confrère ZDNet, les choses ne sont peut-être pas aussi simples : Un utilisateur qui ne parviendrait pas à changer le mot de passe de son compte pourrait être dans une situation où son compte ait été automatiquement modifié pour inclure un logiciel malveillant. 

Est-ce que des images ont été trafiquées par le ou les pirates ? Docker ne donne aucune assurance à ce sujet. Microsoft a déclaré de son côté que ses images officielles hébergées sur Docker Hub n'ont pas été compromises et rappelé pour l'occasion qu’il n’est pas conseillé de se baser sur des images de dépôts publics pour les charges de travail en production. Microsoft recommande des registres privés.

Docker indique enquêter sur l'incident e vouloir partager les détails de l'enquête, dès qu'ils seront disponibles.