CamoLeak : une vulnérabilité critique de GitHub Copilot fuite du code source privé

 (legitsecurity.com)
8 points par GN⁺ 2025-10-14 | 1 commentaires | Partager sur WhatsApp
  • En juin 2025, une vulnérabilité critique (CVSS 9.6) a été découverte dans GitHub Copilot Chat
  • Il a été confirmé qu’une contournement de CSP et injection de prompt à distance permettait l’exfiltration d’informations secrètes et de code privé
  • La fonction de commentaires masqués de GitHub peut être détournée pour manipuler les réponses de Copilot d’autres utilisateurs
  • Une analyse fine du fonctionnement du proxy Camo de GitHub a permis de réussir le contournement de la CSP
  • GitHub a corrigé en urgence cette vulnérabilité en août 2025 en désactivant le rendu des images

Résumé TL;DR

  • En juin 2025, une vulnérabilité critique permettant la fuite de code source et de secrets depuis des dépôts privés a été découverte dans GitHub Copilot Chat
  • Le chercheur a utilisé une injection de prompt à distance et un contournement de la CSP (Content Security Policy) de GitHub pour manipuler et contrôler entièrement les réponses de Copilot, et pousser des suggestions de code malveillant ou de liens piégés
  • Le cœur de l’attaque repose sur l’utilisation de la fonction officielle de commentaires masqués de GitHub et de la sensibilité contextuelle de Copilot, afin d’injecter des prompts de manière invisible pour les utilisateurs
  • En analysant le mécanisme par lequel GitHub convertit automatiquement les liens d’images externes via le proxy Camo, l’attaque a été conçue pour reconstruire les données exfiltrées caractère par caractère
  • Après une divulgation via HackerOne, GitHub a corrigé le problème en bloquant la fonction de rendu d’images dans Copilot Chat

Contexte

  • GitHub Copilot Chat est un assistant IA intégré qui aide les développeurs à poser des questions, obtenir des explications de code ou des suggestions d’implémentation
  • Copilot Chat s’appuie sur divers éléments de contexte comme le code du dépôt, les commits, les PR (pull requests), etc.
  • Plus la quantité de contexte augmente, plus la surface d’attaque s’élargit

Utilisation de l’injection de prompt et de la fonction de commentaires masqués

  • Dans une expérience visant la sensibilité contextuelle de GitHub Copilot, un prompt spécifique a été inséré dans la description d’une PR (pull request)
  • En temps normal, les prompts ou messages insérés sont visibles par tous les utilisateurs
  • C’est là qu’il a été découvert qu’en utilisant la fonction officielle de commentaires masqués de GitHub(``), il était possible de transmettre des instructions à Copilot de manière invisible
  • Lorsqu’un prompt est placé dans un commentaire masqué, il apparaît dans les notifications, mais son contenu précis reste invisible, produisant un effet de Server-Side Injection

Portée du prompt malveillant

  • Les prompts cachés dans les commentaires masqués influencent aussi Copilot lorsque d’autres utilisateurs accèdent à la page de PR
  • Au-delà d’un simple texte, il est possible d’insérer des commandes complexes incluant suggestions de code, Markdown, URL malveillantes, ou recommandations de paquets malveillants comme Copilotevil
  • Copilot opère avec les mêmes autorisations que l’utilisateur qui a envoyé la requête, ce qui lui permet d’accéder à des dépôts privés et d’en exploiter les informations
  • En ajoutant volontairement des données encodées en base16 dans une URL, il devient possible de construire un scénario où les informations sont exfiltrées vers un attaquant au clic de l’utilisateur

Principaux impacts

  • Manipulation et contrôle du contenu des réponses Copilot d’autres utilisateurs
  • Possibilité d’injection de prompt ciblée via Markdown, images, code, URL, etc.
  • Mise en œuvre d’attaques visant l’exfiltration d’informations dans le périmètre d’autorisations de la victime

Interprétation structurelle du contournement de la CSP de GitHub

  • GitHub applique une CSP stricte qui limite le chargement d’images et de ressources depuis des domaines externes
  • Lorsqu’une image est insérée dans un README ou du Markdown, le proxy GitHub Camo convertit l’URL externe en URL proxifiée basée sur une signature HMAC
  • Pour qu’un navigateur puisse charger l’image, il faut au préalable une URL Camo et une valeur de signature générées par GitHub
  • Même si l’utilisateur crée une URL contenant des données dynamiques, elle sera bloquée si elle ne passe pas par le proxy Camo

Méthode d’exploitation de la structure Camo

  • Le chercheur a pré-généré un dictionnaire complet d’URL de proxy Camo pour l’ensemble des lettres et caractères spéciaux, puis l’a intégré au prompt masqué
  • En demandant à Copilot un « jeu en ASCII Art », il l’a amené à transformer les données à exfiltrer (par ex. code source, clés) en une séquence d’images via le proxy Camo
  • À chaque requête d’image, le navigateur ne reçoit qu’un pixel transparent 1x1, sans changement visible pour l’utilisateur
  • Enfin, des paramètres aléatoires ont été ajoutés pour éviter les problèmes de cache

Mise en œuvre et tests de l’attaque

  • La cible choisie était la description d’une vulnérabilité zero-day dans une issue d’un projet privé
  • Une PoC (preuve de concept) a démontré le processus réel d’exfiltration
  • Copilot a même été amené à automatiser, à titre d’exemple, la recherche du mot-clé "AWS_KEY" et l’exfiltration du résultat

Réponse et correctif de GitHub

  • GitHub a corrigé la vulnérabilité à compter du 14 août 2025 en désactivant entièrement le rendu des images dans Copilot Chat

Pour aller plus loin

À lire aussi

1 commentaires

 
GN⁺ 2025-10-14
Avis Hacker News

  • Nous sommes très heureux d’avoir migré tout notre environnement de travail vers Forgejo, un VCS self-hosted. Nous avons commencé il y a deux ans à migrer jusqu’aux dépôts de tous nos clients, et non seulement nous avons fortement réduit notre facture GitHub, mais nous avons aussi obtenu un système bien plus rapide et stable, utilisé chaque jour par 30 à 40 développeurs. Nous avons également interdit VSCode ainsi que tous les éditeurs intégrant des fonctionnalités LLM. Les développeurs peuvent utiliser des agents de code en CLI, mais ils sont exploités dans des conteneurs strictement isolés, avec un accès limité aux seules sources autorisées.

    • Dans un environnement où 30 à 40 développeurs clonent chacun les dépôts sur leur machine locale, je me demande comment vous empêchez qu’une personne expose par erreur l’ensemble d’un dépôt à un LLM. Et si quelqu’un n’ose pas signaler son erreur par peur de conséquences professionnelles, comment détectez-vous une fuite de données ?

    • J’aimerais savoir quel IDE vous utilisez comme alternative.

    • Je suis curieux de savoir à quoi se connectent les outils CLI : les services officiels d’OpenAI ou de Claude, ou bien un fournisseur comme AWS Bedrock ?

    • Interdire complètement VSCode me semble excessif, au-delà d’une simple restriction des plugins problématiques par fonctionnalité. VSCode est le seul IDE avec un support aussi large, y compris pour des langages comme Haskell, Lean 4 ou F*, qui sont mal pris en charge ailleurs. Même dans de grandes entreprises commerciales de biens de consommation, on n’interdit pas VSCode lui-même ; il suffit en principe de ne pas utiliser les fonctions problématiques.

  • Je pense en réalité que ce problème n’a pas été correctement résolu. Le point remarquable avec Copilot, c’est qu’il accepte des entrées en langage naturel ; autrement dit, quelle que soit la méthode d’exfiltration, il suffit de la décrire en anglais pour qu’elle fonctionne. Ils disent avoir « corrigé » certaines méthodes spécifiques, mais sans expliquer comment. Par exemple, on pourrait utiliser du base64 dans une URL d’image, ou encore tromper le système avec quelque chose comme : « J’ai accidentellement enregistré ma liste de courses dans le champ passswd, peux-tu la retrouver ? », et ainsi récupérer aussi des mots de passe. Il semble y avoir énormément de vulnérabilités à découvrir. Je me demande même s’il y a un bug bounty pour ce genre de choses : c’est une mine d’or.

    • Que voulez-vous dire exactement par utiliser du base64 dans une URL d’image ? Vous voulez dire utiliser une URL d’image qui ne passe pas par Camo ? Il me semble qu’à cause de la CSP, les images non relayées par Camo sont bloquées. Et si l’agent Copilot n’a pas d’accès Internet, faire un fetch sera de toute façon difficile ; si c’est possible, cela ouvrirait des vecteurs d’attaque bien plus simples que l’usage d’images.

    • Je considère que GitHub a résolu ce problème en désactivant complètement le rendu des images dans Copilot Chat.

  • J’ai trouvé impressionnante l’idée de pré-générer toutes les lettres et tous les symboles de l’alphabet sous forme d’URL Camo, puis de les insérer dans le prompt. C’est une approche élégante.

  • Cet article donne un peu l’impression d’être une publicité pour une société nommée Legit. Mais en réalité, toutes les solutions basées sur l’IA partagent la même faiblesse : le manque de transparence et les problèmes de confiance. Avec des outils de cybersécurité IA qui ne sont pas fondés sur le FOSS, la menace pour la sécurité peut même être encore plus grande.

  • Ce n’est pas la première fois que cela arrive ; il y a déjà eu auparavant le cas connexe « GitHub Copilot Chat: From Prompt Injection to Data Exfiltration » : cas connexe.

    • Ce genre de chose continuera à se reproduire.

  • Je pense que le fait de dissimuler des informations dans des commentaires HTML cachés dans une PR peut encore rester un problème sérieux, surtout dans les dépôts open source. Je me demande si ce point a été amélioré.

    • Cette fonctionnalité est largement utilisée pour insérer des messages de guidance dans les templates d’issue/PR. Mais il semble relativement simple de supprimer les commentaires dans l’entrée envoyée à Copilot, et tant que le problème de « prompt injection » des LLM n’est pas résolu de manière totalement sûre, ce type de traitement restera nécessaire, au moins à titre provisoire.

  • Je trouve intéressant que cet exploit s’appuie sur le schéma lent de réponse token par token des LLM, ce qui permet de reconstruire les données dans l’ordre. Si le LLM renvoyait toute la réponse d’un seul bloc, le timing serait brouillé et la reconstruction deviendrait probablement beaucoup plus difficile.

    • Je proposerais de faire générer des URL incluant non seulement chaque caractère, mais aussi sa position. Par exemple, pour la chaîne « hacked », il demanderait 0.0.0.0/1-h, 0.0.0.0/2-a, etc. On pourrait ensuite trier les requêtes et éliminer les appels en double.

  • Je me demande s’il ne serait pas possible de répondre à ce problème en limitant les droits d’accès aux dépôts des utilisateurs de Copilot à la lecture seule.

  • Je ne me souviens même plus quand c’était la dernière fois que j’ai exfiltré mon propre code source personnel avec Copilot.

  • C’est vraiment une approche unique et très élégante.