En dpit de plus d’une dcennie de rappels, d’incitations et de harclements, un nombre surprenant de dveloppeurs ne parviennent toujours pas dbarrasser leur code des informations sensibles qui donnent les cls de leur royaume quiconque prend le temps de les chercher. De nombreuses de ces tares sont le fait de trs grandes entreprises qui disposent d’quipes de scurit en principe solides. Ces lacunes dcoulent de mauvaises pratiques de codage dans lesquelles les dveloppeurs intgrent des cls cryptographiques, des jetons de scurit, des mots de passe et d’autres formes d’informations d’identification directement dans le code source. Cest ce que rapporte une enqute de la firme de scurit GitGuardian.
Les chercheurs de cette socit de scurit ont annonc avoir trouv prs de 4000 de ces informations en principe secrtes dans un total de 450 000 projets soumis PyPI, le dpt de code officiel pour le langage de programmation Python. Prs de 3000 projets contenaient au moins un secret unique. De nombreux secrets ont t divulgus plus d’une fois, ce qui porte le nombre total de secrets exposs prs de 57 000.
Les informations exposes permettaient d’accder toute une srie de ressources, notamment les serveurs Microsoft Active Directory qui fournissent et grent les comptes dans les rseaux d’entreprise, les serveurs OAuth permettant l’authentification unique, les serveurs SSH et les services tiers pour les communications avec les clients et les crypto-monnaies. Quelques exemples :
- cls API Azure Active Directory ;
- cls d’application OAuth de GitHub ;
- identifiants de base de donnes pour des fournisseurs tels que MongoDB, MySQL et PostgreSQL ;
- cl Dropbox ;
- cls Auth0 ;
- informations d’identification SSH ;
- informations d’identification Coinbase
- informations d’identification principales de Twilio.
Les cls d’API permettant d’interagir avec divers services Google Cloud, les identifiants de bases de donnes et les jetons contrlant les robots Telegram, qui automatisent les processus sur le service de messagerie, font galement partie du lot. Le rcent rapport indique que les expositions dans ces trois catgories ont rgulirement augment au cours de l’anne ou des deux dernires annes. Les secrets ont t exposs dans diffrents types de fichiers publis sur PyPI. Il s’agit notamment de fichiers .py primaires, de fichiers README et de dossiers de test.
Toyota, Samsung, Nvidia, Twitch, etc. : plusieurs grosses enseignes sont concernes
Le 7 octobre 2022, Toyota, le constructeur automobile bas au Japon, a rvl qu’il avait accidentellement expos un identifiant permettant d’accder aux donnes des clients dans un dpt GitHub public pendant prs de 5 ans. Le code a t rendu public de dcembre 2017 septembre 2022. Bien que Toyota affirme avoir invalid la cl, toute exposition aussi longue pourrait signifier que plusieurs acteurs malveillants avaient dj acquis l’accs.
Ce qui s’est pass
En 2014, Toyota a introduit un nouveau service tlmatique appel T-Connect pour ses clients. Toyota T-Connect est l’application de connectivit officielle du constructeur automobile qui permet aux propritaires de voitures Toyota de relier leur smartphone au systme d’info-divertissement du vhicule pour les appels tlphoniques, la musique, la navigation, l’intgration des notifications, les donnes de conduite, l’tat du moteur, la consommation de carburant Toyota a dcouvert rcemment qu’une partie du code source du site T-Connect avait t publie par erreur sur GitHub et contenait une cl d’accs au serveur de donnes qui stockait les adresses lectroniques et les numros de gestion des clients. Les serveurs qui contrlent ces options contiennent des numros d’identification et des courriels uniques des clients.
En dcembre 2017, alors qu’il travaillait avec un sous-traitant non nomm, une partie du code source de T-Connect a t tlcharge sur un dpt GitHub public. l’intrieur du dpt se trouvait une cl d’accs code en dur pour le serveur de donnes qui gre les informations des clients. Quiconque trouvait cette cl d’accs pouvait accder au serveur, obtenant ainsi un accs pour 296 019 clients. Ce n’est que le 15 septembre 2022 que quelqu’un a remarqu que ce dpt tait public et que les donnes des clients taient potentiellement exposes. Toyota a depuis rendu le dpt priv et a invalid et remplac toutes les informations d’identification de connexion affectes.
Toyota a imput l’erreur un sous-traitant de dveloppement, mais a reconnu sa responsabilit dans la mauvaise gestion des donnes des clients et s’est excus pour tout dsagrment caus. Le constructeur automobile japonais conclut que, bien qu’il n’y ait aucun signe de dtournement de donnes, il ne peut exclure la possibilit que quelqu’un ait accd aux donnes et les ait voles. la suite d’une enqute mene par des experts en scurit, bien que nous ne puissions pas confirmer l’accs par un tiers sur la base de l’historique d’accs au serveur de donnes o sont stocks l’adresse e-mail du client et le numro de gestion du client, dans le mme temps, nous ne pouvons pas le nier compltement , – explique l’avis.
Source : GitGuardian
Et vous ?
Ces chiffres sont-ils cohrents avec la ralit dont vous tes au fait ? Sinon quelle est
Comment expliquer que ce genre de tares continuent de perdurer dans la filire en dpit de plus d’une dcennie de rappels et d’incitations lendroit des intervenants que sont les programmeurs ? La qualit des programmeurs est-elle remettre en question ?
Cette situation est-elle particulire au dpt de code officiel pour le langage de programmation Python ? Sinon quels sont les autres cosystmes qui sont tout autant concerns ?
Voir aussi :