Un chercheur publie un outil pour aider les administrateurs à chercher les clés de chiffrement
Qu'ils auraient pu oublier sur un dépôt GitHub

Le , par Stéphane le calme, Chroniqueur Actualités
Un chercheur a publié un outil pour aider les développeurs à trouver des clés de chiffrement à haute entropie dans le code publié sur Github. Baptisé Truffle Hog, le mode opératoire de l’outil est décrit comme étant « un module qui va passer en revue tout l'historique de validation de chaque branche et qui va vérifier chaque diff de chaque commit, va évaluer l'entropie Shannon à la fois pour l’ensemble des caractères base64 mais aussi pour l'ensemble des caractères hexadécimaux pour chaque bloc de texte supérieur à 20 caractères compris dans ces jeux de caractères dans chaque diff. Si à tout moment une chaîne de plus de 20 caractères et qui comporte une entropie élevée est détectée, elle va s’afficher sur l'écran ».

L'outil est le travail de Dylan Ayrey, un ingénieur qui avait mis en garde contre un « paste-jacking » (remplacement de ce qui se trouve dans le presse-papiers d'une personne) en Javascript en mai de l'année dernière. Il avait alors rappelé que « les navigateurs permettent maintenant aux développeurs d'ajouter automatiquement du contenu au presse-papiers d'un utilisateur, selon certaines conditions. à savoir, cela ne peut être déclenché que sur les événements du navigateur ». Dans une PoC, il a montré qu’il est possible d’exploiter ce mécanisme pour piéger un utilisateur et lui faire lancer des commandes qu’il ne voulait pas.

« Il convient également de noter, depuis quelque temps, des attaques similaires ont été possibles via html / css. Ce qui est différent, c'est que le texte peut être copié après un événement, il peut être copié sur un minuteur court après un événement, et il est plus facile à copier en caractère hexadécimal dans le presse-papiers, qui peut être utilisé pour exploiter VIM », avançait-il.

L'objectif de Truffle Hog est d'empêcher les administrateurs d'exposer par inadvertance leurs réseaux, même si l’outil sera sans doute également utilisés par les pirates informatiques pour scanner les applications open source existantes à la recherche de backdoors potentiels de type zero day qui peuvent être exploitées.

Amazon Web Services (AWS) utilise déjà un outil similaire pour rechercher sur GitHub de manière préventive les clés AWS qui peuvent avoir été connectées aux dépôts publics par accident, empêchant les pirates de les utiliser pour faire tourner des instances AWS (par exemple, Bitcoin). Ce que n’ont pas manqué de souligner certains utilisateurs : « j'ai accidentellement mis mes clés secrètes AWS dans un référentiel public. Amazon les a trouvé puis a fermé mon compte jusqu'à ce que j'en crée de nouveaux. Bon travail Amazon ».

Source : dépôt de Truffle Hog, Paste-jacking

Et vous ?

Que pensez-vous de cet outil ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 10/01/2017 à 13:51
j'ai accidentellement mis mes clés secrètes AWS dans un référentiel public.
Une phrase qui résume tout!!! Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe à la vue de n'importe quel curieux...

Et bien, je suis un faible du bulbe... La connerie humaine est sans limite!
Avatar de youtpout978 youtpout978 - Membre expert https://www.developpez.com
le 10/01/2017 à 14:02
Citation Envoyé par NSKis Voir le message
Une phrase qui résume tout!!! Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe à la vue de n'importe quel curieux...

Et bien, je suis un faible du bulbe... La connerie humaine est sans limite!
C'est pas forcément de la connerie, ça peut être simplement une erreur.
Avatar de hotcryx hotcryx - Membre extrêmement actif https://www.developpez.com
le 10/01/2017 à 15:01
"Un chercheur publie un outil pour aider les administrateurs à chercher les clés de chiffrement"

comment ça pue, le piège 'possible' à plein nez
Avatar de Matthieu Vergne Matthieu Vergne - Expert éminent https://www.developpez.com
le 10/01/2017 à 15:32
Citation Envoyé par NSKis Voir le message
Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe
Citation Envoyé par youtpout978 Voir le message
C'est pas forcément de la connerie, ça peut être simplement une erreur.
Et de toute évidence, ce cas ci est bien de l'erreur. S'il avait été con, il n'aurait pas été content qu'on lui ferme son compte jusqu'à remplacement des clés.

Citation Envoyé par hotcryx Voir le message
comment ça pue, le piège 'possible' à plein nez
Le programme :
- est un script Python qui doit être lancé localement, a contrario des outils en ligne gérés par des serveurs qui ne t'appartiennent pas.
- est un unique fichier open source de 133 lignes seulement, tu peux donc en vérifier le contenu pour t'assurer que rien n'est envoyé à l'extérieur.

De là, le programme se contente de lister les clés potentielles qu'il trouve. Tu peux tout aussi bien faire la même recherche à la main. Dès lors que quelqu'un a accès au dépôt, il peut le faire tourner même sans te le demander, inutile donc que tu le fasses tourner toi-même. Rien à voir avec un attrape con donc, par contre les admins qui ne le font pas risquent d'avoir une mauvaise surprise si d'autres le font sur leur dépôts et y trouvent effectivement des clés exploitables. Donc piège, non, mais ça fourni aussi un outil aux crackers (qui ont probablement déjà implémenté quelque chose par eux-même d'ailleurs).
Avatar de lulu7 lulu7 - Inactif https://www.developpez.com
le 10/01/2017 à 16:39
Citation Envoyé par NSKis Voir le message
Une phrase qui résume tout!!! Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe à la vue de n'importe quel curieux...

Et bien, je suis un faible du bulbe... La connerie humaine est sans limite!
+1 en meme temps c'est qu'un chercheur...
Contacter le responsable de la rubrique Accueil