GitHub : Victime d’attaques DDoS en provenance de Chine

GitHub est un service web qui permet l’hébergement et la gestion de développement de logiciels. Ce service est très populaire et pour diverses raisons : nombreuses fonctionnalités, gratuité (pour les projets libres), etc. Google a même annoncé récemment avoir fait le choix de fermer son Google Code au profit de GitHub…

github-logoMais depuis vendredi matin, les utilisateurs ont rencontré quelques difficultés pour accéder au service en ligne. En effet, GitHub a fait face à de nombreuses attaques DDOS (Attaque par déni de service) en provenance de Chine. Et ce que l’on peut dire, c’est que la technique utilisée est plutôt surprenante et inhabituelle… De nombreux sites chinois diffusaient un script destiné à leurs visiteurs étrangers. Le code malveillant en JavaScript (code disponible ici) était tranquillement chargé dans les pages des sites. Celui-ci s’exécutait dans les navigateurs cibles et opérait une connexion automatique à GitHub.com toutes les deux secondes… et bien sûr à l’insu des utilisateurs.

Ces sites avaient tous un point commun :

  • Ils diffusaient de la publicité en provenance du géant Baidu (le Google chinois) ;
  • Ils utilisaient un code de suivi, toujours de Baidu.

L’attaque visait deux projets très populaires sur Github : GreatFire (lutte contre la censure chinoise) et CN-NYTimes (miroir du New York Times, normalement inaccessible en Chine). Les 2 services sont très utilisés/suivis par les citoyens chinois afin de contourner le Grand Firewall mis en place par le gouvernement chinois.

Baidu s’est rapidement fendu d’un communiqué en rejetant toute implication directe dans cette attaque. Il a également annoncé travailler avec ses équipes de sécurité pour aller au fond du problème… et à semble-t-il réussi à désactiver script malicieux.

Depuis hier soir, il semble que les choses soient rentrées dans l’ordre du côté de GitHub… et c’est plutôt rassurant. Le service est de nouveau 100% opérationnel. L’attaque aura (juste) rendu les services inaccessibles durant quelques heures. Aucune donnée/information sensibles ne semble avoir été dérobées.

source