Une pratique de développement risquée expose les clés d’accès de l’entreprise

Les clés d’accès de l’entreprise, utilisées par les développeurs pour s’authentifier dans d’autres systèmes, sont trop souvent exposées au public pendant le processus de développement de logiciels, mettant les données de l’entreprise à risque d’être compromises par des acteurs malveillants à l’affût d’un accès facile aux systèmes d’entreprise.

C’est ce qui ressort des nouvelles données recueillies par Digital Shadows, qui a parcouru plus de 150 millions d’entités de GitHub, GitLab et Pastebin en une période de 30 jours, et évalué et classé près de 800 000 clés d’accès et secrets.

Il a déclaré que plus de 40% de ces clés auraient accordé l’accès aux magasins de bases de données, 38% aux environnements cloud, y compris AWS, Google Cloud et Microsoft Azure, et 11% pour les services en ligne, y compris les plates-formes de collaboration telles que Slack, et les systèmes de paiement.

« Comme le développement de logiciels est de plus en plus distribué entre les équipes internes et les équipes externalisées, il est devenu difficile de surveiller l’exposition d’informations sensibles », a déclaré Russell Bentley, vice-président produit chez Digital Shadows.

« Chaque jour, des informations techniques telles que des clés et des secrets sont exposées en ligne aux plateformes de collaboration de code. Normalement, c’est accidentel, mais nous avons vu des preuves que les acteurs de la menace fouillent les dépôts publics et cherchent à les utiliser afin d’accéder à des données sensibles et d’infiltrer les organisations.

« La plupart des services que nous avons identifiés sont sécurisés par conception, mais, comme toujours, les humains sont le maillon faible de la chaîne et rendent souvent l’information publique alors qu’elle devrait être privée. »

Bentley a déclaré que l’impact des clés de base de données exposées était « particulièrement profond », offrant aux acteurs malveillants un accès non autorisé aux données d’entreprise et aux informations personnelles identifiables (PII) avec des autorisations pour les exposer, les détruire ou les manipuler. Les informations d’identification pour Redis, MySQL et MongoDB ont été les plus souvent exposées, at-il dit.

Si un acteur non autorisé devait réussir à s’authentifier dans l’environnement cloud d’une cible, l’impact pourrait être tout aussi grave, ce qui lui donnerait encore une fois la possibilité d’exposer, de détruire ou de manipuler d’une autre manière des données sensibles. En ce qui concerne les fournisseurs de cloud publics, Digital Shadows a déclaré que les environnements Google Cloud étaient les plus susceptibles d’avoir des clés exposées, suivis par les jetons Microsoft Azure et SAS.

Elle a noté que, bien qu’AWS soit le leader du marché, les clés exposées pour ses services représentaient une proportion beaucoup plus faible du total.

En termes de services en ligne, tels que Slack, les acteurs malveillants pourraient utiliser des clés compromises pour poster des messages d’hameçonnage directement dans les canaux de leur victime, accéder à des informations sensibles transmises dans les conversations, et accéder à des espaces de travail Slack. Les clés compromises des services de paiement, telles que les clés API Stripe, auraient également des conséquences désastreuses.

Digital Shadows a déclaré que les utilisateurs pourraient prendre un certain nombre de cours d’action, tels que l’utilisation d’outils tels que Trufflehog pour rechercher dans les référentiels git pour les secrets accidentellement commis, ou GitRob, qui peut être utile pour trouver des fichiers sensibles poussés à des dépôts publics sur GitHub.

L’analyse secrète GitHub peut également fournir une surveillance pour bon nombre des types de clés les plus fréquemment exposés observés par Digital Shadows, bien qu’elle ne s’étende pas toujours aux magasins de bases de données.