Le 7 octobre 2022, Toyota, le constructeur automobile bas au Japon, a rvl qu’il avait accidentellement expos un identifiant permettant d’accder aux donnes des clients dans un dpt GitHub public pendant prs de 5 ans. Le code a t rendu public de dcembre 2017 septembre 2022. Bien que Toyota affirme avoir invalid la cl, toute exposition aussi longue pourrait signifier que plusieurs acteurs malveillants avaient dj acquis l’accs. Cet incident ajoute Toyota la liste des entreprises qui ont t exposes des risques similaires, une liste qui comprend Samsung, Nvidia et Twitch, pour n’en citer que quelques-unes. Bien que cette violation chez Toyota soit actuellement considre comme assez limite, compare aux 6 695 secrets exposs dans le cas de Samsung, le nombre croissant d’entreprises confrontes de tels problmes reste une tendance trs inquitante.
Les expositions de donnes sur des dpts Git publics sont un sujet particulirement troublant. Le code destin des dpts privs troitement contrls est trs souvent pouss vers des dpts publics appartenant des employs ou des sous-traitants, en dehors du contrle de scurit de leur organisation GitHub.
Ce qui s’est pass
En 2014, Toyota a introduit un nouveau service tlmatique appel T-Connect pour ses clients. Toyota T-Connect est l’application de connectivit officielle du constructeur automobile qui permet aux propritaires de voitures Toyota de relier leur smartphone au systme d’info-divertissement du vhicule pour les appels tlphoniques, la musique, la navigation, l’intgration des notifications, les donnes de conduite, l’tat du moteur, la consommation de carburant Toyota a dcouvert rcemment qu’une partie du code source du site T-Connect avait t publie par erreur sur GitHub et contenait une cl d’accs au serveur de donnes qui stockait les adresses lectroniques et les numros de gestion des clients. Les serveurs qui contrlent ces options contiennent des numros d’identification et des courriels uniques des clients.
En dcembre 2017, alors qu’il travaillait avec un sous-traitant non nomm (jusqu’ prsent), une partie du code source de T-Connect a t tlcharge sur un dpt GitHub public. l’intrieur du dpt se trouvait une cl d’accs code en dur pour le serveur de donnes qui gre les informations des clients. Quiconque trouvait cette cl d’accs pouvait accder au serveur, obtenant ainsi un accs pour 296 019 clients. Ce n’est que le 15 septembre 2022 que quelqu’un a remarqu que ce dpt tait public et que les donnes des clients taient potentiellement exposes. Toyota a depuis rendu le dpt priv et a invalid et remplac toutes les informations d’identification de connexion affectes.
Toyota a imput l’erreur un sous-traitant de dveloppement, mais a reconnu sa responsabilit dans la mauvaise gestion des donnes des clients et s’est excus pour tout dsagrment caus. Le constructeur automobile japonais conclut que, bien qu’il n’y ait aucun signe de dtournement de donnes, il ne peut exclure la possibilit que quelqu’un ait accd aux donnes et les ait voles. la suite d’une enqute mene par des experts en scurit, bien que nous ne puissions pas confirmer l’accs par un tiers sur la base de l’historique d’accs au serveur de donnes o sont stocks l’adresse e-mail du client et le numro de gestion du client, dans le mme temps, nous ne pouvons pas le nier compltement , – explique l’avis.
Quelle est la gravit de la situation ?
Les numros d’identification et les courriels des clients ont potentiellement t exposs, mais les noms des clients, les donnes des cartes de crdit et les numros de tlphone n’taient pas stocks dans la base de donnes expose et ne sont donc pas en danger. Toyota a commenc prendre contact avec les clients concerns. Dans le cadre de cette action, la socit a mis en place un formulaire spcial sur son site pour permettre aux clients de vrifier si leurs donnes ont t exposes. Pour l’instant, rien n’indique que cette brche permettrait des acteurs malveillants de faire plus que rcolter des courriels et les numros de gestion des clients qui y sont associs. Toyota n’a pas t en mesure de confirmer que des abus ou des attaques ont eu lieu en utilisant les donnes rcoltes.
Comment les gens peuvent-ils se protger ?
Toyota avertit ses clients que, bien qu’aucune utilisation non autorise de leurs informations personnelles n’ait t dtecte, tous les utilisateurs concerns doivent se mfier des courriels non sollicits et des attaques par phishing. L’avis de Toyota indique : Si vous recevez un courriel suspect dont l’expditeur ou l’objet est inconnu, il existe un risque d’infection par un virus ou d’accs non autoris. Veuillez donc ne pas ouvrir le fichier joint au courriel et supprimer immdiatement le courriel lui-mme .
Cet incident nous rappelle qu’avec tous les e-mails, il est important de ne suivre que les liens provenant de sources fiables. En cas de doute sur la validit d’un courriel, il convient d’inspecter l’en-tte pour s’assurer que le domaine du courriel est lgitime et d’utiliser l’aperu au survol pour tout lien afin de s’assurer que l’URL ne vous redirige pas vers un site potentiellement dangereux. Les attaquants peuvent utiliser le contexte ainsi que les e-mails vols pour crer des campagnes de phishing plus convaincantes. Par exemple, le fait de savoir que le client est un client de Toyota peut le faire paratre plus digne de confiance.
Comment les dveloppeurs peuvent-ils empcher que cela ne se reproduise ?
Deux erreurs de scurit sont l’origine de ce dernier incident chez Toyota : du code cens tre priv a t pouss vers un dpt public et un code d’identification pour un serveur de base de donnes contenant des donnes clients a t cod en dur dans le dpt.
Git est un systme de contrle de version, utilis par plus de 93 % des dveloppeurs. L’un des avantages de Git est que chacun dispose d’une copie complte du projet sur lequel il travaille. Cet accs la copie complte signifie galement que chaque dveloppeur peut, son tour, pousser sa copie vers des endroits non autoriss, tels que des dpts publics. S’il n’est peut-tre pas possible d’empcher un contractant de pousser du code o il veut, il est possible de dtecter quand du code ou de la proprit intellectuelle a t pouss l o il ne devrait pas tre.
Le codage en dur de secrets est un problme srieux qui touche l’industrie du logiciel aujourd’hui. En septembre, les analystes de scurit de Symantec ont rvl que prs de 2 000 applications pour iOS et Android contiennent des informations d’identification AWS codes en dur dans leur code. Il s’agit gnralement du rsultat d’une ngligence de la part des dveloppeurs, qui stockent les informations d’identification dans le code pour faciliter et acclrer l’extraction des ressources, l’accs aux services et la mise jour de la configuration lors du test de plusieurs itrations de l’application. Ces informations d’identification devraient tre supprimes lorsque le logiciel est prt tre dploy, mais malheureusement, comme le montre le cas de l’application T-Connect, ce n’est pas toujours le cas.
En raison de ce problme persistant, GitHub a commenc analyser le code publi la recherche de secrets et bloquer les commits de code qui contiennent des cls d’authentification afin de mieux scuriser les projets.
Source : Toyota
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :