Des chercheurs en sécurité de Wiz ont découvert une vulnérabilité critique dans l’infrastructure interne de GitHub, permettant à n’importe quel utilisateur authentifié d’exécuter du code arbitraire sur les serveurs de la plateforme, le tout avec une seule commande git.

Un git push. C’est, à peu près, tout ce qu’il fallait.

Pas d’exploit sophistiqué, pas de vulnérabilité zero-day dans une librairie obscure. Juste une commande que des millions de développeurs tapent des dizaines de fois par jour, et qui, jusqu’au 4 mars 2026, pouvait suffire à prendre le contrôle de serveurs internes de GitHub. Et potentiellement accéder aux dépôts privés de n’importe quelle organisation hébergée sur la plateforme.

La faille, référencée CVE-2026-3854, a été découverte par l’équipe Wiz Research et rendue publique le 28 avril. Elle touche deux cibles distinctes : GitHub.com, la plateforme cloud utilisée par des centaines de millions de développeurs dans le monde, et GitHub Enterprise Server (GHES), la version auto-hébergée utilisée par les grandes entreprises et administrations.

Bitdefender logo black
Box Bit 3
Faux SMS, mails frauduleux… Ne tombez plus dans le piège !
Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security.
Je me protège contre les arnaques.
Pipeline interne de push Git de GitHub // Source : Wix
Pipeline interne de push Git de GitHub. // Source : Wiz

Comprendre le problème

Pour comprendre la faille, il faut d’abord comprendre ce qui se passe en coulisses quand vous poussez du code sur GitHub. Votre commande ne va pas directement dans un dépôt, elle traverse une chaîne de plusieurs services internes, chacun écrit dans un langage différent, qui se passent des informations via un header HTTP interne, appelé X-Stat.

Ce header fonctionne comme un formulaire à cases qui contient des paires « clé=valeur » séparées par des points-virgules : la politique de fichiers trop volumineux, les règles de nommage des branches, les droits de l’utilisateur… tout transite par là.

Le premier service de la chaîne, nommé « babeld », construit ce header après avoir vérifié l’identité de l’utilisateur. Les services suivants lui font confiance les yeux fermés.

Problème : quand ce fameux babeld intègre des push options dans ce header, c’est‑à‑dire des chaînes arbitraires que l’utilisateur peut passer via la commande git push -o, il ne filtre pas les points‑virgules. Or le point‑virgule joue précisément le rôle de délimiteur dans le header, ce qui permet à un attaquant d’injecter de nouveaux champs en glissant donc un point-virgule dans sa push option. Quand une clé est dupliquée, la dernière valeur l’emporte et l’attaquant peut donc écraser n’importe quel paramètre de sécurité défini en amont.

Les chercheurs de Wiz ont identifié plusieurs champs internes particulièrement sensibles pouvant être injectés de cette manière. Trois d’entre eux, combinés, ouvrent la voie à une exécution de code arbitraire à distance complète sur l’infrastructure interne de GitHub.

Des millions de dépôts à portée

Sur GitHub Enterprise Server, l’exploitation était directe. Sur GitHub.com, une subtilité supplémentaire entrait en jeu : les custom hooks sont désactivés par défaut sur la plateforme cloud. Mais Wiz a découvert qu’un flag supplémentaire dans le même header, contrôlant l’activation du mode Enterprise, était lui aussi injectable via le même mécanisme. Une injection de plus, et la chaîne complète fonctionnait.

Ce qui rend cette découverte notable dépasse la vulnérabilité elle-même. Wiz souligne explicitement que l’analyse a été rendue possible par du reverse engineering augmenté par IA, via un outil appelé IDA MCP. Analyser les binaires compilés et propriétaires qui constituent l’infrastructure interne de GitHub était auparavant trop coûteux en temps pour être systématique. Avec ces outils, les chercheurs ont pu reconstruire les protocoles internes et tracer le flux des données utilisateur à travers toute la chaîne, rapidement. Cela est présenté comme l’une des premières CVE critiques découvertes de cette manière dans des binaires closed-source.

GitHub.com a reçu un correctif six heures après le signalement, le 4 mars 2026. Pour GHES, des patches ont été publiés pour toutes les versions supportées. La mise à jour vers la version 3.19.3 ou ultérieure est la seule action à effectuer. Au moment de la divulgation publique, le 28 avril, 88 % des instances GHES recensées par Wiz étaient encore vulnérables.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !