Un chercheur a publié un outil pour aider les développeurs à trouver des clés de chiffrement à haute entropie dans le code publié sur Github. Baptisé Truffle Hog, le mode opératoire de l’outil est décrit comme étant « un module qui va passer en revue tout l'historique de validation de chaque branche et qui va vérifier chaque diff de chaque commit, va évaluer l'entropie Shannon à la fois pour l’ensemble des caractères base64 mais aussi pour l'ensemble des caractères hexadécimaux pour chaque bloc de texte supérieur à 20 caractères compris dans ces jeux de caractères dans chaque diff. Si à tout moment une chaîne de plus de 20 caractères et qui comporte une entropie élevée est détectée, elle va s’afficher sur l'écran ».L'outil est le travail de Dylan Ayrey, un ingénieur qui avait mis en garde contre un « paste-jacking » (remplacement de ce qui se trouve dans le presse-papiers d'une personne) en Javascript en mai de l'année dernière. Il avait alors rappelé que « les navigateurs permettent maintenant aux développeurs d'ajouter automatiquement du contenu au presse-papiers d'un utilisateur, selon certaines conditions. à savoir, cela ne peut être déclenché que sur les événements du navigateur ». Dans une PoC, il a montré qu’il est possible d’exploiter ce mécanisme pour piéger un utilisateur et lui faire lancer des commandes qu’il ne voulait pas.
« Il convient également de noter, depuis quelque temps, des attaques similaires ont été possibles via html / css. Ce qui est différent, c'est que le texte peut être copié après un événement, il peut être copié sur un minuteur court après un événement, et il est plus facile à copier en caractère hexadécimal dans le presse-papiers, qui peut être utilisé pour exploiter VIM », avançait-il.
L'objectif de Truffle Hog est d'empêcher les administrateurs d'exposer par inadvertance leurs réseaux, même si l’outil sera sans doute également utilisés par les pirates informatiques pour scanner les applications open source existantes à la recherche de backdoors potentiels de type zero day qui peuvent être exploitées.
Amazon Web Services (AWS) utilise déjà un outil similaire pour rechercher sur GitHub de manière préventive les clés AWS qui peuvent avoir été connectées aux dépôts publics par accident, empêchant les pirates de les utiliser pour faire tourner des instances AWS (par exemple, Bitcoin). Ce que n’ont pas manqué de souligner certains utilisateurs : « j'ai accidentellement mis mes clés secrètes AWS dans un référentiel public. Amazon les a trouvé puis a fermé mon compte jusqu'à ce que j'en crée de nouveaux. Bon travail Amazon ».
Source : dépôt de Truffle Hog, Paste-jacking
Et vous ?
Que pensez-vous de cet outil ? 
Envoyé par NSKis
