Symposium sur la sécurité des technologies de l'information et des communications

GitHub est une plateforme largement utilisée par les particuliers comme par les entreprises pour héberger du code et automatiser des pipelines CI/CD via GitHub Actions, ce qui en fait une surface d’attaque intéressante. Au-delà de l’exposition classique de code et de secrets (credentials, tokens, CI secrets), certaines fonctionnalités comme l’OAuth device flow et les workflows GitHub Actions peuvent être détournées pour obtenir un initial access sans compromettre d’identifiants ni contourner le MFA. Lorsque des self-hosted runners sont déployés au sein de réseaux de confiance, un contrôle même limité sur un repository peut alors mener à de l’exécution de code à distance, à l’extraction de secrets (la plupart du temps sensible) et pour finir à la compromission de systèmes internes et d'environnement cloud.

Dans cette présentation, nous traiterons principalement des points suivants :

1. Vecteur d'accès initial réaliste basé sur le OAuth device code phishing, permettant d’obtenir des GitHub tokens sans vol de credentials ni contournement du MFA.

2. Comment un contrôle limité sur un repo contenant des fichiers de workflows Github Actions suffit à transformer GitHub Actions en primitive d'exécution de code à distance, notamment via des self-hosted runners.

3. Extraction de secrets et usurpation d’identité d'un runner

4. Les impacts en termes persistence, mouvement latéral (interne/cloud)

5. Les mesures de défense associées.