Des identifiants confidentiels de l'Agence américaine de cybersécurité (CISA) ont été découverts dans un dépôt GitHub public

Clés SSH~? mots de passe en clair et autres données sensibles depuis 2025

Des identifiants confidentiels de l'Agence américaine de cybersécurité (CISA) ont été découverts dans un dépôt GitHub public : clés SSH, mots de passe en clair et autres données sensibles depuis novembre 2025

Guillaume Valadon, chercheur chez GitGuardian, a révélé avoir découvert un dépôt GitHub public appartenant à la CISA qui contenait 844 Mo de données sensibles, notamment des mots de passe en clair, des jetons d’authentification et d’autres secrets. Bien qu'il soit nommé « Private-CISA », le dépôt était accessible au public en ligne depuis le 13 novembre 2025. Valadon a découvert que le dépôt contenait des noms de répertoires et de fichiers pour le moins surprenants, notamment « Important AWS Tokens.txt » et « ENTRA ID - SAML Certificates/ ». En réalité, le dépôt contenait non seulement ces jetons et certificats SAML, mais aussi des mots de passe en clair, des clés privées et d’autres identifiants, dont certains étaient encore valides.

L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), dont le siège se trouve à Arlington, en Virginie, est une composante du Département américain de la sécurité intérieure (DHS) chargée de la cybersécurité et de la protection des infrastructures à tous les niveaux de l'administration, de la coordination des programmes de cybersécurité avec les États américains et de l'amélioration des mesures de protection du gouvernement contre les pirates informatiques privés et étatiques.

L'agence a vu le jour en 2007 sous le nom de Direction de la protection nationale et des programmes (NPPD). Avec la loi de 2018 sur l'Agence pour la cybersécurité et la sécurité des infrastructures, le champ d'action de la CISA s'est élargi pour inclure la protection du recensement, la gestion des événements nationaux nécessitant une sécurité particulière et la réponse des États-Unis à la pandémie de COVID-19. Elle a également participé à la supervision de la sécurité des réseaux 5G, à la sécurisation des élections et au renforcement du réseau électrique américain contre les impulsions électromagnétiques (IEM). Le Bureau de prévention des attentats à la bombe dirige la lutte nationale contre les engins explosifs improvisés (EEI).

Il semble que toutes les organisations divulguent des secrets sur Internet ces derniers temps — même le gouvernement américain. Guillaume Valadon, chercheur chez GitGuardian, a révélé avoir découvert un dépôt GitHub public appartenant à la CISA qui contenait 844 Mo de données sensibles, notamment des mots de passe en clair, des jetons d’authentification et d’autres secrets. Bien qu'il soit nommé « Private-CISA », le dépôt était accessible au public en ligne depuis le 13 novembre 2025.

Dans un article de blog, Valadon a déclaré avoir découvert pour la première fois ce dépôt exposé le 14 mai, après que le service de surveillance publique de GitGuardian, qui analyse en permanence des sources publiques telles que GitHub à la recherche de secrets divulgués, eut signalé le dépôt la veille. Après y avoir jeté un coup d'œil, il a d'abord soupçonné qu'il s'agissait d'un canular, car le contenu du dépôt « semblait trop beau pour être vrai ».

Hélas, le dépôt était bien réel, tout comme les secrets qu'il contenait. La bourde de la CISA constitue le dernier exemple en date d'une tendance regrettable : des organisations incapables de contenir la prolifération des secrets et exposant accidentellement des ensembles de données sensibles sur Internet, où des acteurs malveillants avides n'attendent que de s'en emparer.


Valadon a découvert que le dépôt contenait des noms de répertoires et de fichiers pour le moins surprenants, notamment « Important AWS Tokens.txt » et « ENTRA ID - SAML Certificates/ ». En réalité, le dépôt contenait non seulement ces jetons et certificats SAML, mais aussi des mots de passe en clair, des clés privées et d’autres identifiants, dont certains étaient encore valides. De plus, le dépôt hébergeait des journaux de build CI/CD, de la documentation sur les workflows de déploiement, des manifestes Kubernetes, des workflows GitHub Actions, des automatisations d’organisation GitHub, ainsi qu’une multitude de données AWS, telles que des comptes utilisateurs, des données de gestion des identités et des accès (IAM), des comptes de service et des chemins de gestion des secrets, entre autres.

« Les informations exposées offraient un aperçu détaillé de l’infrastructure cloud, des workflows de déploiement, des outils de la chaîne d’approvisionnement logicielle et des pratiques opérationnelles internes », a écrit Valadon. On ignore si ces secrets ont été consultés au cours des six mois pendant lesquels le dépôt a été en ligne. Des études ont montré que les attaquants surveillent les ressources cloud telles que les dépôts GitHub à la recherche de secrets exposés et peuvent exploiter les fuites en quelques minutes à peine après la mise en ligne des données.

Valadon explique qu’une « réponse définitive nécessitera la coopération de GitHub », car les vues externes des dépôts sont limitées. « D’après les événements publics de GitHub, ce que nous pouvons constater de l’extérieur, c’est que le dépôt n’a jamais été dupliqué. C’est un indice faible mais réel qui suggère qu’il n’a pas circulé à grande échelle », dit-il. « Nous ne pouvons pas observer les clones depuis l’extérieur, nous ne pouvons donc pas exclure qu’une personne ait téléchargé une copie, mais il s’agit d’une déduction, pas d’une confirmation. »

La bonne nouvelle, c'est qu'après avoir alerté la CISA, l'agence a supprimé le référentiel en un peu plus de 24 heures, même si Valadon a précisé qu'elle avait bénéficié de l'aide du journaliste spécialisé en cybersécurité Brian Krebs, qui a fait appel à ses contacts au sein de l'agence et a porté l'affaire à leur attention. « Il faut rendre hommage à la CISA pour sa rapidité d'action — la plupart de nos signalements prennent bien plus de temps, et certains ne sont jamais corrigés », a écrit Valadon.

La mauvaise nouvelle, c'est que le personnel de la CISA se livrait à des pratiques à haut risque. « Le dépôt était un véritable catalogue de pratiques dangereuses : mots de passe en clair, sauvegardes commises sur Git et instructions explicites de désactiver la fonctionnalité de scan des secrets de GitHub », a-t-il écrit. Valadon explique que, d'après une analyse du dépôt, l'explication la plus probable est que, comme certains commits contenaient des secrets codés en dur, la fonctionnalité de protection des poussées de GitHub bloquait les poussées. « Plutôt que de supprimer les secrets, quelqu'un a documenté la manière de désactiver le contrôle afin que les commits puissent passer », dit-il.

Valadon ajoute qu’il s’agit là d’une mauvaise pratique que les organisations matures évitent. Au contraire, elles considèrent ces fonctionnalités de sécurité, telles que l’analyse des secrets de GitHub ou le service de protection des poussées de GitGuardian, comme « un contrôle non négociable ». « Le schéma que nous observons est le suivant : des développeurs individuels désactivent cette fonctionnalité sous la pression des délais lorsqu’une poussée échoue. La bonne réponse consiste à supprimer le secret du commit, et non le détecteur », précise-t-il.


L'exposition de ce dépôt fait suite à des coupes massives dans le budget et les effectifs de la CISA sous la deuxième administration Trump. En 2025, l'agence a perdu environ un tiers de ses employés, tandis que la proposition de budget de la Maison Blanche pour l'exercice 2027 prévoit de réduire le financement de la CISA de plus de 700 millions de dollars.

Les coupes budgétaires et licenciements au sein de la CISA ont considérablement affaibli ses capacités. Ces mesures ont été mises en œuvre par le département de l'efficacité gouvernementale (DOGE) dans le cadre d'une politique de réduction des dépenses et de la taille du gouvernement fédéral. Depuis sa création en janvier 2025, le DOGE était dirigé par Elon Musk, mais il vient de se retirer son départ pour se concentrer sur ses entreprises en difficulté.

Ces changements interviennent dans un contexte de menaces cybernétiques accrues. Des experts en sécurité et d'anciens cadres de la CISA expriment leur inquiétude quant à l'impact de ces départs sur la capacité de l'agence à défendre le pays contre ces menaces. Le démantèlement de la CISA est perçu comme une fragilisation des défenses cybernétiques des États-Unis, laissant le pays vulnérable face à des adversaires de plus en plus sophistiqués.

Source : Rapport sur GitGuardian

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Trump veut réduire le budget de l'agence américaine de cybersécurité CISA de 500 millions $ pour 2026. L'accusant de donner la priorité à la censure plutôt qu'à la cybersécurité et à la protection des élections

GitGuardian révèle une progression de 81 % des fuites liées aux services d'IA tandis que 29 millions de secrets sont détectés sur GitHub public

Le «pire piratage des USA» : Salt Typhoon a infiltré les principaux réseaux de télécoms, démontrant pourquoi les portes dérobées intégrées volontairement aux systèmes chiffrés ne doivent jamais être autorisées