Connect with us

Technologie

Une pratique de développement risquée expose les clés d’accès de l’entreprise

Published

on


Les clés d’accès de l’entreprise, utilisées par les développeurs pour s’authentifier dans d’autres systèmes, sont trop souvent exposées au public pendant le processus de développement de logiciels, mettant les données de l’entreprise à risque d’être compromises par des acteurs malveillants à l’affût d’un accès facile aux systèmes d’entreprise.

C’est ce qui ressort des nouvelles données recueillies par Digital Shadows, qui a parcouru plus de 150 millions d’entités de GitHub, GitLab et Pastebin en une période de 30 jours, et évalué et classé près de 800 000 clés d’accès et secrets.

Il a déclaré que plus de 40% de ces clés auraient accordé l’accès aux magasins de bases de données, 38% aux environnements cloud, y compris AWS, Google Cloud et Microsoft Azure, et 11% pour les services en ligne, y compris les plates-formes de collaboration telles que Slack, et les systèmes de paiement.

« Comme le développement de logiciels est de plus en plus distribué entre les équipes internes et les équipes externalisées, il est devenu difficile de surveiller l’exposition d’informations sensibles », a déclaré Russell Bentley, vice-président produit chez Digital Shadows.

« Chaque jour, des informations techniques telles que des clés et des secrets sont exposées en ligne aux plateformes de collaboration de code. Normalement, c’est accidentel, mais nous avons vu des preuves que les acteurs de la menace fouillent les dépôts publics et cherchent à les utiliser afin d’accéder à des données sensibles et d’infiltrer les organisations.

« La plupart des services que nous avons identifiés sont sécurisés par conception, mais, comme toujours, les humains sont le maillon faible de la chaîne et rendent souvent l’information publique alors qu’elle devrait être privée. »

Bentley a déclaré que l’impact des clés de base de données exposées était « particulièrement profond », offrant aux acteurs malveillants un accès non autorisé aux données d’entreprise et aux informations personnelles identifiables (PII) avec des autorisations pour les exposer, les détruire ou les manipuler. Les informations d’identification pour Redis, MySQL et MongoDB ont été les plus souvent exposées, at-il dit.

Si un acteur non autorisé devait réussir à s’authentifier dans l’environnement cloud d’une cible, l’impact pourrait être tout aussi grave, ce qui lui donnerait encore une fois la possibilité d’exposer, de détruire ou de manipuler d’une autre manière des données sensibles. En ce qui concerne les fournisseurs de cloud publics, Digital Shadows a déclaré que les environnements Google Cloud étaient les plus susceptibles d’avoir des clés exposées, suivis par les jetons Microsoft Azure et SAS.

Elle a noté que, bien qu’AWS soit le leader du marché, les clés exposées pour ses services représentaient une proportion beaucoup plus faible du total.

En termes de services en ligne, tels que Slack, les acteurs malveillants pourraient utiliser des clés compromises pour poster des messages d’hameçonnage directement dans les canaux de leur victime, accéder à des informations sensibles transmises dans les conversations, et accéder à des espaces de travail Slack. Les clés compromises des services de paiement, telles que les clés API Stripe, auraient également des conséquences désastreuses.

Digital Shadows a déclaré que les utilisateurs pourraient prendre un certain nombre de cours d’action, tels que l’utilisation d’outils tels que Trufflehog pour rechercher dans les référentiels git pour les secrets accidentellement commis, ou GitRob, qui peut être utile pour trouver des fichiers sensibles poussés à des dépôts publics sur GitHub.

L’analyse secrète GitHub peut également fournir une surveillance pour bon nombre des types de clés les plus fréquemment exposés observés par Digital Shadows, bien qu’elle ne s’étende pas toujours aux magasins de bases de données.

Continue Reading
Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Technologie

GDS passe en revue la politique Cloud First post-Schrems II

Published

on


Le Service numérique du gouvernement (GDS) procède à un examen de la politique et des orientations intergouvernementales en matière de cloud, y compris l’avenir de la politique Cloud First, à la lumière de l’arrêt Schrems II de juillet 2020 qui a annulé l’accord ue-US Privacy Shield.

L’examen a été confirmé par Lord Agnew en réponse aux questions écrites de son collègue Lord Clement-Jones, qui cherchait à établir quelle évaluation le gouvernement a fait de l’utilisation des fournisseurs de cloud basés aux États-Unis pour héberger les données du gouvernement britannique au Royaume-Uni, et ce qui, le cas échéant, prévoit qu’il doit réviser sa politique Cloud First.

« GDS procède actuellement à une évaluation des risques de tous ses services et produits (y compris Gov.uk) en ce qui concerne les flux transfrontaliers de données », a déclaré M. Agnew dans sa réponse. « Le nouvel arrêt de la CJUE sera examiné dans le cadre de cette évaluation.

« L’évaluation permettra d’identifier les flux de données pertinents et de s’assurer que des mesures d’atténuation appropriées sont mises en œuvre si nécessaire, à la suite des mises à jour et des directives du Bureau du Commissaire à l’information (BDI) et de l’Office européen de protection des données (EDPB). GDS s’est engagée avec d’autres ministères par l’entremise de groupes consultatifs de données et de réseaux de protection des données afin d’assurer une atténuation uniforme.

« n fin de compte, cependant, c’est une décision pour les organisations gouvernementales individuelles où et comment stocker leurs données, à condition qu’elles soient faites de manière sécurisée et offrent un bon rapport qualité-prix »

Un examen précédent de la politique Cloud First, vieille de sept ans, qui a été menée en 2019 en reconnaissance de l’appétit croissant pour les déploiements informatiques hybrides dans le secteur public, a conclu qu’elle était aussi pertinente aujourd’hui qu’elle l’était à sa création, et que sa reconnaissance de la marque au gouvernement était si forte que d’apporter des changements ne serait pas bénéfique.

L’examen conjoint mené par GDS et le Crown Commercial Service (CCS) a toutefois mis en place la création d’un nouveau groupe de travail pour examiner comment les utilisateurs peuvent mieux équilibrer les besoins techniques et commerciaux lorsqu’ils achètent des services cloud pour obtenir le meilleur rapport qualité-prix tout en minimisant le risque d’être enfermés avec un seul fournisseur.

Le jugement européen Schrems II a été rendu en juillet 2020. L’affaire remonte à une plainte contre Facebook, déposée en 2013 par l’activiste et écrivain autrichien Max Schrems, au sujet de la pratique consistant à transférer les données personnelles des citoyens de l’UE à Facebook Inc aux États-Unis, violant à la fois la protection des données de l’UE et le droit des droits de l’homme.

En annulant le bouclier de protection de la vie privée, les tribunaux européens ont conclu que l’accord ne permettait pas aux Européens d’avoir un droit à la vie privée adéquat en vertu des lois américaines sur la surveillance. Bien qu’elle ait remporté la vie privée et la liberté d’expression, cette décision provoque de l’incertitude et des perturbations pour les organisations qui transfèrent des données entre les États-Unis et l’UE. Même si le Royaume-Uni a quitté l’UE, la décision aura probablement un impact sur les transferts de données entre les deux à l’avenir.

Le Bureau du Conseil des ministres n’avait pas répondu à une demande de commentaires au moment de la publication.

Continue Reading

Technologie

Trump impliqué dans des plans pour poursuivre Assange sur les fuites de guerre

Published

on


La Maison Blanche était derrière le retrait du fondateur de WikiLeaks Julian Assange de l’ambassade équatorienne à Londres avant son arrestation, a-t-on appris aujourd’hui auprès d’un tribunal.

Journaliste américaine et partisane de Trump, Casandra Fairbanks a affirmé qu’un partisan du parti républicain proche du président lui avait parlé des projets d’arrestation d’Assange quelques mois avant que cela ne se produise.

Dans une déclaration de témoin lue au tribunal aujourd’hui, Fairbanks a déclaré qu’elle avait reçu des détails avancés sur les plans du gouvernement américain d’arrêter et Assange lors d’un appel téléphonique d’Arthur Schwartz un donateur riche au parti républicain.

Le donateur du parti républicain a averti Fairbanks qu’Assange serait inculpé pour les fuites de Chelsea Manning en 2010, que les États-Unis se rendraient à l’ambassade équatorienne pour arrêter Assange, et qu’ils « s’en prendraient à Chelsea Manning ».

« Ces deux prédictions se sont réalisées quelques mois plus tard », a-t-elle dit. Schwartz n’aurait pu recevoir l’information sur Assange que de sources officielles, a-t-on appris auprès du tribunal.

Allégations rejetées par les États-Unis

Joel Smith QC représentant le gouvernement américain, a rejeté aujourd’hui fairbanks prétend que « la vérité de ce que Mme Fairbanks a été dit par Arthur Schwarz n’était pas à sa connaissance ».

Smith a déclaré que l’accusation remettrait également en question la partialité du témoin, qui reconnaît qu’elle est un partisan de WikiLeaks.

Le tribunal a entendu Schwartz était un conseiller informel de Donald Trump junior et a travaillé pour l’ambassadeur des États-Unis en Allemagne, Richard Grenell, qui il est apparu plus tard avait été derrière l’expulsion d’Assange de l’ambassade des États-Unis, la cour a entendu.

Fairbanks, une partisane de Trump, a travaillé pour une organisation de presse basée à Washington « Gateway Pundit » qu’elle a décrite comme une organisation « pro-Trump ».

Fairbanks faisait partie du groupe de messages avec des gens proches de Trump

Elle faisait partie d’un groupe de messages qui comprenait plusieurs personnes qui travaillaient pour, ou étaient proches du président Trump, y compris Schwartz et Grenell, dit-elle dans une déclaration de témoin.

Schwartz a téléphoné à Fairbanks le 30 octobre 2018 après avoir posté une interview avec la mère d’Assange sur le groupe de discussion, espérant que quelqu’un le verrait et serait déplacé pour aider.

« Arthur Schwartz était extrêmement en colère », a-t-elle dit. Il lui a dit que les gens auraient pu négliger son soutien précédent de WikiLeaks, mais ils ne seraient pas si indulgent maintenant qu’elle était « plus informée ».

« Il a élevé mon enfant de neuf ans au cours de ces commentaires, que j’ai perçus comme une tactique d’intimidation », a-t-elle déclaré dans la déclaration du témoin.

Schwartz a dit à plusieurs reprises à Fairbanks de cesser de défendre WikiLeaks et Assange, en disant qu’un pardon ne va pas se produire putain ».

« Il connaissait des détails très précis sur une future poursuite contre Assange qui ont été rendues publiques plus tard et que seuls ceux qui étaient très proches de la situation auraient alors été au courant », a-t-elle dit.

Assange ne serait pas inculpé pour des fuites de la CIA

Schwartz a déclaré à Fairbanks qu’Assange serait inculpé pour les fuites de Chelsea Manning, mais ne serait pas accusé de publier les documents Vault 7 – qui ont exposé la capacité de la CIA à mener la surveillance et la cyberguerre – ou les fuites DNC.

Il a également dit à Fairbanks qu' »ils s’en prendraient à Chelsea Manning » et que ce serait fait avant Noel. « Ces deux prédictions se sont réalisées quelques mois plus tard », a-t-elle dit.

Le gouvernement américain se rendrait à l’ambassade pour obtenir Assange, a déclaré Schwartz.

« J’ai répondu que l’entrée dans l’ambassade d’une nation souveraine et l’enlèvement d’un réfugié politique seraient un acte de guerre et il a répondu : « Pas s’ils nous laissent faire », a déclaré Fairbanks dans la déclaration des témoins.

« Je ne savais pas à l’époque que l’ambassadeur Grenell avait conclu ce mois-là, en octobre 2018, à un accord avec le gouvernement équatorien », a-t-elle déclaré.

Manning a divulgué près de 750 000 documents classifiés et sensibles, militaires et diplomatiques à WikiLeaks, y compris les journaux de guerre afghans.

Fairbanks a diminué Assange et Manning des arrestations

En janvier 2019, bien qu’elle ait été ébranlée par l’appel téléphonique d’Arthur Schwartz, Fairbanks a rendu visite à Assange à l’ambassade équatorienne et l’a « informé de tout ce qu’on m’avait dit », a-t-elle dit.

« J’ai aussi rencontré Chelsea Manning en personne et lui ai dit que je craignais qu’ils pourraient venir après elle à nouveau ».

Lorsque Assange a été accusé d’avoir publié les fuites de Chelsea Manning en 2010 et que Manning a été présenté devant un grand jury, « j’ai compris que les informations que Schwartz avait, provenaient de sources précises et officielles », a-t-elle dit.

Elle a de nouveau rendu visite à Assange le 25 mars 2019 et a dit qu’elleed très différemment. Elle a été enfermée dans une salle d’attente froide pendant une heure tandis que le personnel de l’ambassade « a exigé Assange être soumis à un scanner du corps entier avec un détecteur de métaux ». Ils n’avaient que 2 minutes pour parler.

Elle a envoyé un message à Schwartz le 29 mars 2019. Schwartz a appelé Fairbanks et lui a dit qu’il savait qu’elle avait partagé le contenu de leur conversation précédente avec Assange.

Schwartz a déclaré qu’il y avait maintenant une enquête sur qui a divulgué Fairbanks les informations qu’elle a donné à Assange en personne en Octobre 2018.

Assange et Fairbanks avaient communiqué en passant des notes et Assange avait joué une radio pendant la réunion pour éviter la surveillance. « Apparemment, ces mesures n’étaient pas suffisantes pour s’assurer que ma conversation était privée ».

Fairbanks a dit qu’elle ne pouvait plus faire confiance

Schwartz a déclaré à Fairbanks qu’il ne pouvait plus lui faire confiance avec des informations relatives à WikiLeaks.

« Il était évident que les États-Unis avaient été impliqués, y compris le département d’État, et que Schwartz avait été fait partie à l’information », a déclaré Fairbanks.

Peu après l’arrestation d’Assange le 11 avril 2019, ABC news a rapporté que l’ambassadeur Grenell avait été impliqué dans l’accord d’arrestation d’Assange « en octobre lorsque j’ai reçu l’appel de Schwartz ».

Lorsque Fairbanks a tweeté l’histoire d’ABC, l’ambassadeur Grenell a envoyé un message au patron de Fairbanks et a essayé de persuader son patron de lui faire supprimer le tweet. — J’ai refusé, dit Fairbanks.

En septembre 2019, Trump a annoncé qu’il avait congédié son conseiller à la sécurité nationale John Bolton et que le nom de Grenell était « flottant partout » en tant que candidat probable pour remplacer Bolton, a déclaré Fairbanks dans son communiqué.

Ordres directs du président

Quelques heures après avoir publié un tweet sur Twitter indiquant que Grenell était impliqué dans l’arrestation d’Assange et qu’elle avait tenté de faire virer Fairbanks pour cela, elle a reçu un autre appel téléphonique de Schwartz.

« Cette fois, il était frénétique. Il se délirait et délirait qu’il pouvait aller en prison et que je tweetais des informations classifiées », a-t-elle dit.

« Schwartz m’a informé qu’en coordonnant le renvoi d’Assange de l’ambassade, l’ambassadeur Grenell l’avait fait sur ordre direct du président », a déclaré Fairbanks.

Elle a enregistré l’appel qui fera partie de la preuve de cette audience. Il n’a pas été joué au tribunal.

Elle a dit qu’elle croyait maintenant que le personnel de l’ambassade a pris des « mesures extrêmes » dans sa deuxième rencontre avec Assange parce que le contenu de sa rencontre antérieure avec Assange avait été remis aux autorités américaines et ceux qui ont des liens étroits avec eux, y compris Arthur Schwartz.

Edward Fitzgerald QC, représentant Assange a déclaré à la cour: « Nous disons ce que Schwartz lui a dit est une bonne indication du gouvernement au plus haut niveau. »

Continue Reading

Technologie

Arm peut-il rester fort sous Nvidia ?

Published

on


Merci de vous joindre!

Accédez à votre Pro+ Contenu ci-dessous.

22 septembre 2020

Arm peut-il rester fort sous Nvidia ?

Dans l’hebdomadaire informatique de cette semaine, nous examinons les implications de l’acquisition controversée du leader britannique des puces Arm par son rival américain Nvidia. Black Lives Matter a sensibilisé les gens aux inégalités sociales, mais le secteur de la technologie se diversifie-t-il ? Et nous demandons si les logiciels d’entreprise peuvent apprendre de la nature addictive des applications sociales. Lisez la question maintenant.

Continue Reading

Trending