Le 7 octobre 2022, Toyota, le constructeur automobile basé au Japon, a révélé qu'il avait accidentellement exposé un identifiant permettant d'accéder aux données des clients dans un dépôt GitHub public pendant près de 5 ans. Le code a été rendu public de décembre 2017 à septembre 2022. Bien que Toyota affirme avoir invalidé la clé, toute exposition aussi longue pourrait signifier que plusieurs acteurs malveillants avaient déjà acquis l'accès. Cet incident ajoute Toyota à la liste des entreprises qui ont été exposées à des risques similaires, une liste qui comprend Samsung, Nvidia et Twitch, pour n'en citer que quelques-unes. Bien que cette violation chez Toyota soit actuellement considérée comme assez limitée, comparée aux 6 695 secrets exposés dans le cas de Samsung, le nombre croissant d'entreprises confrontées à de tels problèmes reste une tendance très inquiétante.Les expositions de données sur des dépôts Git publics sont un sujet particulièrement troublant. Le code destiné à des dépôts privés étroitement contrôlés est très souvent poussé vers des dépôts publics appartenant à des employés ou à des sous-traitants, en dehors du contrôle de sécurité de leur organisation GitHub.
Ce qui s'est passé
En 2014, Toyota a introduit un nouveau service télématique appelé T-Connect pour ses clients. Toyota T-Connect est l'application de connectivité officielle du constructeur automobile qui permet aux propriétaires de voitures Toyota de relier leur smartphone au système d'info-divertissement du véhicule pour les appels téléphoniques, la musique, la navigation, l'intégration des notifications, les données de conduite, l'état du moteur, la consommation de carburant… Toyota a découvert récemment qu'une partie du code source du site T-Connect avait été publiée par erreur sur GitHub et contenait une clé d'accès au serveur de données qui stockait les adresses électroniques et les numéros de gestion des clients. Les serveurs qui contrôlent ces options contiennent des numéros d'identification et des courriels uniques des clients.
En décembre 2017, alors qu'il travaillait avec un sous-traitant non nommé (jusqu'à présent), une partie du code source de T-Connect a été téléchargée sur un dépôt GitHub public. À l'intérieur du dépôt se trouvait une clé d'accès codée en dur pour le serveur de données qui gère les informations des clients. Quiconque trouvait cette clé d'accès pouvait accéder au serveur, obtenant ainsi un accès pour 296 019 clients. Ce n'est que le 15 septembre 2022 que quelqu'un a remarqué que ce dépôt était public et que les données des clients étaient potentiellement exposées. Toyota a depuis rendu le dépôt privé et a invalidé et remplacé toutes les informations d'identification de connexion affectées.
Toyota a imputé l'erreur à un sous-traitant de développement, mais a reconnu sa responsabilité dans la mauvaise gestion des données des clients et s'est excusé pour tout désagrément causé. Le constructeur automobile japonais conclut que, bien qu'il n'y ait aucun signe de détournement de données, il ne peut exclure la possibilité que quelqu'un ait accédé aux données et les ait volées. « À la suite d'une enquête menée par des experts en sécurité, bien que nous ne puissions pas confirmer l'accès par un tiers sur la base de l'historique d'accès au serveur de données où sont stockés l'adresse e-mail du client et le numéro de gestion du client, dans le même temps, nous ne pouvons pas le nier complètement », - explique l'avis.
Quelle est la gravité de la situation ?
Les numéros d'identification et les courriels des clients ont potentiellement été exposés, mais les noms des clients, les données des cartes de crédit et les numéros de téléphone n'étaient pas stockés dans la base de données exposée et ne sont donc pas en danger. Toyota a commencé à prendre contact avec les clients concernés. Dans le cadre de cette action, la société a mis en place un formulaire spécial sur son site pour permettre aux clients de vérifier si leurs données ont été exposées. Pour l'instant, rien n'indique que cette brèche permettrait à des acteurs malveillants de faire plus que récolter des courriels et les numéros de gestion des clients qui y sont associés. Toyota n'a pas été en mesure de confirmer que des abus ou des attaques ont eu lieu en utilisant les données récoltées.
Comment les gens peuvent-ils se protéger ?
Toyota avertit ses clients que, bien qu'aucune utilisation non autorisée de leurs informations personnelles n'ait été détectée, tous les utilisateurs concernés doivent se méfier des courriels non sollicités et des attaques par phishing. L'avis de Toyota indique : « Si vous recevez un courriel suspect dont l'expéditeur ou l'objet est inconnu, il existe un risque d'infection par un virus ou d'accès non autorisé. Veuillez donc ne pas ouvrir le fichier joint au courriel et supprimer immédiatement le courriel lui-même ».
Cet incident nous rappelle qu'avec tous les e-mails, il est important de ne suivre que les liens provenant de sources fiables. En cas de doute sur la validité d'un courriel, il convient d'inspecter l'en-tête pour s'assurer que le domaine du courriel est légitime et d'utiliser l'aperçu au survol pour tout lien afin de s'assurer que l'URL ne vous redirige pas vers un site potentiellement dangereux. Les attaquants peuvent utiliser le contexte ainsi que les e-mails volés pour créer des campagnes de phishing plus convaincantes. Par exemple, le fait de savoir que le client est un client de Toyota peut le faire paraître plus digne de confiance.
Comment les développeurs peuvent-ils empêcher que cela ne se reproduise ?
Deux erreurs de sécurité sont à l'origine de ce dernier incident chez Toyota : du code censé être privé a été poussé vers un dépôt public et un code d'identification pour un serveur de base de données contenant des données clients a été codé en dur dans le dépôt.
Git est un système de contrôle de version, utilisé par plus de 93 % des développeurs. L'un des avantages de Git est que chacun dispose d'une copie complète du projet sur lequel il travaille. Cet accès à la copie complète signifie également que chaque développeur peut, à son tour, pousser sa copie vers des endroits non autorisés, tels que des dépôts publics. S'il n'est peut-être pas possible d'empêcher un contractant de pousser du code où il veut, il est possible de détecter quand du code ou de la propriété intellectuelle a été poussé là où il ne devrait pas être.
Le codage en dur de secrets est un problème sérieux qui touche l'industrie du logiciel aujourd'hui. En septembre, les analystes de sécurité de Symantec ont révélé que près de 2 000 applications pour iOS et Android contiennent des informations d'identification AWS codées en dur dans leur code. Il s'agit généralement du résultat d'une négligence de la part des développeurs, qui stockent les informations d'identification dans le code pour faciliter et accélérer l'extraction des ressources, l'accès aux services et la mise à jour de la configuration lors du test de plusieurs itérations de l'application. Ces informations d'identification devraient être supprimées lorsque le logiciel est prêt à être déployé, mais malheureusement, comme le montre le cas de l'application T-Connect, ce n'est pas toujours le cas.
En raison de ce problème persistant, GitHub a commencé à analyser le code publié à la recherche de secrets et à bloquer les commits de code qui contiennent des clés d'authentification afin de mieux sécuriser les projets.
Source : Toyota
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
Près de 200 Go de code source de Samsung et le code source de la dernière technologie DLSS de Nvidia ont été publiés en ligne par les pirates Lapsus$, GitGuardian a découvert 6 695 clés de Samsung Le code source de Twitch, les gains des streamers et des outils internes ont fuité en ligne, Twitch a confirmé avoir subi une violation de données suite à un changement de configuration Compromission du code PHP*: les responsables de PHP reprochent désormais une fuite de la base de données utilisateurs master.php.net, plutôt qu'un problème avec le serveur lui-même Nintendo aurait souffert d'une fuite importante de ses anciennes consoles, le code source, les documents de développement et autres auraient été divulgués