Selon une nouvelle étude d'Aqua Security, des secrets d'entreprise pourraient être divulgués par inadvertance via les dépôts GitHub.En analysant les 100 organisations les plus populaires sur GitHub, qui comprend collectivement plus de 50 000 dépôts accessibles au public, les chercheurs d'Aqua ont trouvé des secrets actifs d'organisations open source et d'entreprises telles que Cisco et Mozilla donnant accès à des données et des logiciels sensibles. Les secrets dévoilés pourraient entraîner des pertes financières considérables, une atteinte à la réputation et des conséquences juridiques.
La recherche montre que les "secrets fantômes" peuvent persister dans l'infrastructure basée sur Git utilisée par la plupart des systèmes de gestion du code source (SCM), y compris GitHub, GitLab, Bitbucket et d'autres. Cela est dû à la manière dont les commits de code, même supprimés ou mis à jour, sont sauvegardés dans ces systèmes, de sorte que même une erreur ponctuelle d'un développeur peut exposer des secrets à des acteurs de la menace avisés sur de longues périodes.
« Nos conclusions sont vraiment alarmantes et il est essentiel que toutes les personnes impliquées dans le développement de logiciels prennent conscience de la gravité de ce problème », déclare Yakir Kadkoda, chercheur principal en sécurité chez Aqua Nautilus. « Pendant des années, nous avons éduqué les développeurs à ne pas coder en dur des secrets dans leur code. Aujourd'hui, il s'avère que le fait de le faire ne serait-ce qu'une seule fois expose définitivement ce secret, même s'ils pensaient qu'il avait été supprimé ou écrasé. L'impact d'une fuite de données sensibles peut conduire à un accès non autorisé, à des contrôles de sécurité compromis et à des dommages financiers ou de réputation importants. Ce serait dévastateur ».
Parmi les secrets exposés découverts en analysant les dépôts GitHub ouverts se trouvaient des jetons API de Cisco Meraki et du projet Mozilla. L'équipe de sécurité de Cisco a confirmé ces découvertes : « Nous avons découvert des jetons d'API Meraki privilégiés utilisés par certaines entreprises du classement Fortune 500. Ces jetons pourraient permettre aux attaquants d'accéder à des dispositifs de réseau, à des secrets du protocole de gestion de réseau simple, à des séquences de caméras, et plus encore, servant de point d'ancrage initial pour les parties exposées. »
Le projet Mozilla a également reconnu qu'« un jeton API pour le Mozilla FuzzManager avec des privilèges de lecture-écriture » et « le jeton API d'un employé pour sql.telemetry.mozilla.org ont été divulgués ». Ces deux failles ont été classées dans la catégorie "critique". Non seulement le FuzzManager permet d'accéder à de nombreuses failles de sécurité potentielles dans Firefox et Tor, mais la télémétrie donne accès à des informations confidentielles liées aux produits et aux activités de Mozilla.
À propos d'Aqua Security
Aqua Security bloque les attaques natives du cloud tout au long du cycle de vie des applications et est la seule entreprise à disposer du Cloud Native Protection Warranty d'un montant de 1 million de dollars pour le garantir. En tant que pionnier de la sécurité native du cloud, Aqua aide ses clients à réduire les risques tout en construisant l'avenir de leur entreprise. La plateforme Aqua est la plateforme de protection des applications cloud natives (CNAPP) la plus intégrée du secteur, protégeant le cycle de vie des applications, du code au cloud et inversement. Fondée en 2015, Aqua est basée à Boston, MA et Ramat Gan, IL avec des clients Fortune 1000 dans plus de 40 pays.
Source : "Phantom Secrets: Undetected Secrets Expose Major Corporations" (étude d'Aqua Security)
Et vous ?
Quelle lecture faites-vous de cette situation ? Trouvez-vous les conclusions de cette étude d'Aqua Security crédibles ou pertinentes ?Voir aussi :
GitHub est assiégé par des millions de dépôts malveillants dans le cadre d'une attaque en cours, d'après Apiiro, GitHub ne cesse de supprimer les dépôts malveillants, mais il en reste des milliers GitHub est victime de pirates ; les certificats de signature de code des applications GitHub Desktop et Atom ont été dérobés GitHub : des cybercriminels ont volé les informations de connexion de 100 000 comptes d'utilisateurs de NPM, en utilisant des jetons d'utilisateur OAuth 
Envoyé par Anselme45
