Le code source de GitHub sur… GitHub

© GitHub.

Le développeur et militant de la protection de la vie privée Resynth1943 a annoncé que le code source de GitHub avait été divulgué sur GitHub lui-même, dans le dépôt DMCA. Mais dans les faits, il s’agissait du code de GitHub Enterprise Server et non celui du site web de GitHub lui-même (ce qui n’est pas moins grave, mais plus précis). Le PDG de GitHub, Nat Friedman, a expliqué que GitHub a accidentellement fourni à certains clients un tarball complet et non obscurci de GHES il y a quelques mois ; et c’est ce code qui a été déversé dans le dépôt public DMCA de GitHub (en usurpant au passage l’identité de Nat Friedman). En choisissant spécifiquement ce dépôt, Resynth1943 voulait faire passer un message, car c’est le dépôt qui reçoit les demandes de retrait de contenus en vertu du DMCA (Digital Millennium Copyright Act), notamment celle qui avait valu le retrait de youtube-dl sur demande de la RIAA (Recording Industry Association of America). Pour voir le bon côté des choses, il n’y a pas eu de piratage ou de faille de sécurité d’exploitée. Le code source a été diffusé librement, même si c’est de façon accidentelle, aux clients — et non pas extrait d’un serveur compromis. Mais l’usurpation d’identité montre comment il est facile de se faire passer pour quelqu’un d’autre sur GitHub. Sans doute un problème que l’entreprise devra régler si elle ne veut pas revoir un “Nat Friedman” faire des choses insensées sur GitHub…

⇨ Ars Technica, Jim Salter, “GitHub’s source code was leaked on GitHub last night… sort of.”