Developpez.com

Le Club des Développeurs et IT Pro

Un chercheur publie un outil pour aider les administrateurs à chercher les clés de chiffrement

Qu'ils auraient pu oublier sur un dépôt GitHub

Le 2017-01-10 10:44:30, par Stéphane le calme, Chroniqueur Actualités
Un chercheur a publié un outil pour aider les développeurs à trouver des clés de chiffrement à haute entropie dans le code publié sur Github. Baptisé Truffle Hog, le mode opératoire de l’outil est décrit comme étant « un module qui va passer en revue tout l'historique de validation de chaque branche et qui va vérifier chaque diff de chaque commit, va évaluer l'entropie Shannon à la fois pour l’ensemble des caractères base64 mais aussi pour l'ensemble des caractères hexadécimaux pour chaque bloc de texte supérieur à 20 caractères compris dans ces jeux de caractères dans chaque diff. Si à tout moment une chaîne de plus de 20 caractères et qui comporte une entropie élevée est détectée, elle va s’afficher sur l'écran ».

L'outil est le travail de Dylan Ayrey, un ingénieur qui avait mis en garde contre un « paste-jacking » (remplacement de ce qui se trouve dans le presse-papiers d'une personne) en Javascript en mai de l'année dernière. Il avait alors rappelé que « les navigateurs permettent maintenant aux développeurs d'ajouter automatiquement du contenu au presse-papiers d'un utilisateur, selon certaines conditions. à savoir, cela ne peut être déclenché que sur les événements du navigateur ». Dans une PoC, il a montré qu’il est possible d’exploiter ce mécanisme pour piéger un utilisateur et lui faire lancer des commandes qu’il ne voulait pas.

« Il convient également de noter, depuis quelque temps, des attaques similaires ont été possibles via html / css. Ce qui est différent, c'est que le texte peut être copié après un événement, il peut être copié sur un minuteur court après un événement, et il est plus facile à copier en caractère hexadécimal dans le presse-papiers, qui peut être utilisé pour exploiter VIM », avançait-il.

L'objectif de Truffle Hog est d'empêcher les administrateurs d'exposer par inadvertance leurs réseaux, même si l’outil sera sans doute également utilisés par les pirates informatiques pour scanner les applications open source existantes à la recherche de backdoors potentiels de type zero day qui peuvent être exploitées.

Amazon Web Services (AWS) utilise déjà un outil similaire pour rechercher sur GitHub de manière préventive les clés AWS qui peuvent avoir été connectées aux dépôts publics par accident, empêchant les pirates de les utiliser pour faire tourner des instances AWS (par exemple, Bitcoin). Ce que n’ont pas manqué de souligner certains utilisateurs : « j'ai accidentellement mis mes clés secrètes AWS dans un référentiel public. Amazon les a trouvé puis a fermé mon compte jusqu'à ce que j'en crée de nouveaux. Bon travail Amazon ».

Source : dépôt de Truffle Hog, Paste-jacking

Et vous ?

Que pensez-vous de cet outil ?
  Discussion forum
5 commentaires
  • youtpout978
    Expert confirmé
    Envoyé par NSKis
    Une phrase qui résume tout!!! Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe à la vue de n'importe quel curieux...

    Et bien, je suis un faible du bulbe... La connerie humaine est sans limite!
    C'est pas forcément de la connerie, ça peut être simplement une erreur.
    le 10/01/2017 à 14:02
  • Matthieu Vergne
    Expert éminent
    Envoyé par NSKis
    Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe
    Envoyé par youtpout978
    C'est pas forcément de la connerie, ça peut être simplement une erreur.
    Et de toute évidence, ce cas ci est bien de l'erreur. S'il avait été con, il n'aurait pas été content qu'on lui ferme son compte jusqu'à remplacement des clés.

    Envoyé par hotcryx
    comment ça pue, le piège 'possible' à plein nez
    Le programme :
    - est un script Python qui doit être lancé localement, a contrario des outils en ligne gérés par des serveurs qui ne t'appartiennent pas.
    - est un unique fichier open source de 133 lignes seulement, tu peux donc en vérifier le contenu pour t'assurer que rien n'est envoyé à l'extérieur.

    De là, le programme se contente de lister les clés potentielles qu'il trouve. Tu peux tout aussi bien faire la même recherche à la main. Dès lors que quelqu'un a accès au dépôt, il peut le faire tourner même sans te le demander, inutile donc que tu le fasses tourner toi-même. Rien à voir avec un attrape con donc, par contre les admins qui ne le font pas risquent d'avoir une mauvaise surprise si d'autres le font sur leur dépôts et y trouvent effectivement des clés exploitables. Donc piège, non, mais ça fourni aussi un outil aux crackers (qui ont probablement déjà implémenté quelque chose par eux-même d'ailleurs).
    le 10/01/2017 à 15:32
  • hotcryx
    Membre extrêmement actif
    "Un chercheur publie un outil pour aider les administrateurs à chercher les clés de chiffrement"

    comment ça pue, le piège 'possible' à plein nez
    le 10/01/2017 à 15:01
  • NSKis
    En attente de confirmation mail
    j'ai accidentellement mis mes clés secrètes AWS dans un référentiel public.
    Une phrase qui résume tout!!! Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe à la vue de n'importe quel curieux...

    Et bien, je suis un faible du bulbe... La connerie humaine est sans limite!
    le 10/01/2017 à 13:51
  • lulu7
    Inactif
    Envoyé par NSKis
    Une phrase qui résume tout!!! Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe à la vue de n'importe quel curieux...

    Et bien, je suis un faible du bulbe... La connerie humaine est sans limite!
    +1 en meme temps c'est qu'un chercheur...
    le 10/01/2017 à 16:39