Technologie

Si l’on‍ sait‍ où chercher, de nombreux ‍secrets se cachent sur ‍Internet. Depuis la fin ⁢de l’année 2021, ⁤le ⁢chercheur en sécurité indépendant ⁤Bill Demirkapi a⁣ développé⁣ des méthodes pour exploiter d’importantes sources de données souvent négligées par les chercheurs, afin de déceler un grand nombre de problèmes de sécurité. Cela inclut la découverte ‍automatique de secrets de développeurs, tels que des mots⁢ de passe, ‌des clés API et des jetons d’authentification, qui pourraient permettre à​ des cybercriminels d’accéder aux systèmes d’une ⁤entreprise et de voler des données.

Lors de la conférence de sécurité ‍Defcon à Las Vegas, Demirkapi ‌a présenté les résultats de‍ ses travaux, révélant un vaste ensemble de secrets divulgués et‌ des vulnérabilités sur de nombreux sites web. Parmi les plus de 15 000 secrets de développeurs ​intégrés dans des logiciels, il a ⁣découvert des centaines de détails‍ de noms d’utilisateur⁤ et de mots de passe liés à la Cour⁢ suprême du⁣ Nebraska et à ses systèmes informatiques, les informations nécessaires pour⁢ accéder aux canaux⁢ Slack de l’Université de⁤ Stanford, ainsi que plus d’un millier de clés API appartenant à des clients d’OpenAI.

Un grand fabricant de‍ smartphones, des clients ‍d’une entreprise fintech et une société de cybersécurité valant plusieurs milliards de dollars figurent parmi les milliers d’organisations ayant ‍exposé involontairement des secrets. Dans le cadre de ses efforts pour remédier à cette situation, ⁣Demirkapi a mis au point un moyen d’obtenir automatiquement la révocation de ‌ces détails, les rendant ainsi inutilisables pour​ les hackers.

Dans ‍une autre ‍partie de ses recherches, Demirkapi a également analysé des sources de données‍ pour identifier 66 000⁢ sites web présentant des problèmes de sous-domaines non sécurisés, les‌ rendant vulnérables ⁣à diverses attaques, y compris le⁤ détournement. Certains des plus grands sites ‌web​ au‌ monde, ​y‌ compris un domaine de développement appartenant au⁤ New ‌York Times, présentaient ces faiblesses.

Bien que ​les deux⁣ problèmes de sécurité qu’il⁢ a examinés soient bien connus des chercheurs, Demirkapi affirme que l’exploration de ⁢jeux de‌ données non conventionnels, généralement ⁣réservés à d’autres‌ usages, a permis d’identifier des milliers‍ de problèmes en⁤ masse et, si‍ cette approche est élargie, pourrait contribuer à protéger l’ensemble ⁣du web. « L’objectif‌ a été de ⁤trouver des⁣ moyens de découvrir des classes de⁤ vulnérabilités triviales à grande échelle », déclare Demirkapi. « Je pense qu’il existe⁣ un besoin de solutions créatives. »

Secrets Technologiques et Sites Web Vulnérables

Il est relativement facile pour un développeur d’inclure accidentellement les secrets de son entreprise dans un logiciel ou un ​code. Alon Schindel, vice-président ⁣de‍ l’IA et de‍ la recherche sur les menaces chez Wiz, une entreprise de ​sécurité⁣ cloud, souligne qu’il existe une grande variété de secrets que les développeurs peuvent‌ involontairement intégrer ou exposer tout au long‍ du processus ‍de développement logiciel. Cela peut inclure des mots de passe, des clés ‍de chiffrement, des jetons d’accès API, des ‌secrets de fournisseurs de⁢ cloud et des ⁤certificats TLS.

« Le risque le plus aigu⁤ de ⁤laisser des secrets intégrés est​ que si ⁤des informations d’authentification numérique et des secrets sont exposés, cela peut accorder aux adversaires un accès⁢ non autorisé aux bases de​ code, bases de données et autres infrastructures numériques sensibles d’une entreprise », explique Schindel.

Les ‌enjeux sont élevés : des secrets exposés peuvent entraîner des violations de ‍données, des⁢ intrusions de hackers dans des réseaux et des attaques sur‌ la chaîne d’approvisionnement, ajoute Schindel. Des recherches antérieures​ menées​ en 2019 ont révélé ⁢que des milliers de secrets étaient divulgués sur GitHub chaque jour. Bien que divers outils de détection de secrets existent, ceux-ci se concentrent principalement sur des cibles spécifiques et non​ sur le web dans son ensemble, selon‍ Demirkapi.

Au cours de ses recherches, Demirkapi, qui s’est fait connaître pour ses exploits de hacking à l’école il y a cinq ans, a cherché ces clés secrètes à grande échelle, plutôt que de sélectionner une entreprise et de rechercher spécifiquement ses secrets. Pour ce faire, il s’est tourné vers VirusTotal, un ⁤site ‍appartenant à Google,‌ qui permet aux développeurs de télécharger des fichiers, tels que des applications, et de les faire analyser pour détecter d’éventuels logiciels malveillants.

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *