
Qui dévoile de mauvaises pratiques de codage
En dépit de plus d'une décennie de rappels, d'incitations et de harcèlements, un nombre surprenant de développeurs ne parviennent toujours pas à débarrasser leur code des informations sensibles qui donnent les clés de leur royaume à quiconque prend le temps de les chercher. De nombreuses de ces tares sont le fait de très grandes entreprises qui disposent d'équipes de sécurité en principe solides. Ces lacunes découlent de mauvaises pratiques de codage dans lesquelles les développeurs intègrent des clés cryptographiques, des jetons de sécurité, des mots de passe et d'autres formes d'informations d'identification directement dans le code source. C’est ce que rapporte une enquête de la firme de sécurité GitGuardian.
Les chercheurs de cette société de sécurité ont annoncé avoir trouvé près de 4000 de ces informations en principe secrètes dans un total de 450 000 projets soumis à PyPI, le dépôt de code officiel pour le langage de programmation Python. Près de 3000 projets contenaient au moins un secret unique. De nombreux secrets ont été divulgués plus d'une fois, ce qui porte le nombre total de secrets exposés à près de 57 000.
Les informations exposées permettaient d'accéder à toute une série de ressources, notamment les serveurs Microsoft Active Directory qui fournissent et gèrent les comptes dans les réseaux d'entreprise, les serveurs OAuth permettant l'authentification unique, les serveurs SSH et les services tiers pour les communications avec les clients et les crypto-monnaies. Quelques exemples :
- clés API Azure Active Directory ;
- clés d'application OAuth de GitHub ;
- identifiants de base de données pour des fournisseurs tels que MongoDB, MySQL et PostgreSQL ;
- clé Dropbox ;
- clés Auth0 ;
- informations d'identification SSH ;
- informations d'identification Coinbase
- informations d'identification principales de Twilio.
Les clés d'API permettant d'interagir avec divers services Google Cloud, les identifiants de bases de données et les jetons contrôlant les robots Telegram, qui automatisent les processus sur le service de messagerie, font également partie du lot. Le récent rapport indique que les expositions dans ces trois catégories ont régulièrement augmenté au cours de l'année ou des deux dernières années. Les secrets ont été exposés dans différents types de fichiers publiés sur PyPI. Il s'agit notamment de fichiers .py primaires, de fichiers README et de dossiers de test.
Toyota, Samsung, Nvidia, Twitch, etc. : plusieurs grosses enseignes sont concernées
Le 7 octobre 2022, Toyota, le constructeur automobile basé au Japon, a révélé qu'il avait accidentellement exposé un identifiant permettant d'accéder aux données des clients dans un dépôt GitHub public pendant près de 5 ans. Le code a été rendu public de décembre 2017 à septembre 2022. Bien que Toyota affirme avoir invalidé la clé, toute exposition aussi longue pourrait signifier que plusieurs acteurs malveillants avaient déjà acquis l'accès.
Ce qui s'est passé
En 2014, Toyota a introduit un nouveau service télématique appelé T-Connect pour ses clients. Toyota T-Connect est l'application de connectivité officielle du constructeur automobile qui permet aux propriétaires de voitures Toyota de relier leur smartphone au système d'info-divertissement du véhicule pour les appels téléphoniques, la musique, la navigation, l'intégration des notifications, les données de conduite, l'état du moteur, la consommation de carburant… Toyota a découvert récemment qu'une partie du code source du site T-Connect avait été publiée par erreur sur GitHub et contenait une clé d'accès au serveur de données qui stockait les adresses électroniques et les numéros de gestion des clients. Les serveurs qui contrôlent ces options contiennent des numéros d'identification et des courriels uniques des clients.
En décembre 2017, alors qu'il travaillait avec un sous-traitant non nommé, une partie du code source de T-Connect a été téléchargée sur un dépôt GitHub public. À l'intérieur du dépôt se trouvait une clé d'accès codée en dur pour le serveur de données qui gère les informations des clients. Quiconque trouvait cette clé d'accès pouvait accéder au serveur, obtenant ainsi un accès pour 296 019 clients. Ce n'est que le 15 septembre 2022 que quelqu'un a remarqué que ce dépôt était public et que les données des clients étaient potentiellement exposées. Toyota a depuis rendu le dépôt privé et a invalidé et remplacé toutes les informations d'identification de connexion affectées.
Toyota a imputé l'erreur à un sous-traitant de développement, mais a reconnu sa responsabilité dans la mauvaise gestion des données des clients et s'est excusé pour tout désagrément causé. Le constructeur automobile japonais conclut que, bien qu'il n'y ait aucun signe de détournement de données, il ne peut exclure la possibilité que quelqu'un ait accédé aux données et les ait volées. « À la suite d'une enquête menée par des experts en sécurité, bien que nous ne puissions pas confirmer l'accès par un tiers sur la base de l'historique d'accès au serveur de données où sont stockés l'adresse e-mail du client et le numéro de gestion du client, dans le même temps, nous ne pouvons pas le nier complètement », - explique l'avis.
Source : GitGuardian
Et vous ?



Voir aussi :




Vous avez lu gratuitement 0 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.