2022 a été l'année des fuites de code source ; Microsoft, Nvidia, Samsung, Rockstar et bien d'autres entreprises ont vu leur code source involontairement mis en ligne. La fuite de code source interne se produit avec une régularité alarmante ces dernières années. De nouvelles recherches menées par CyberNews ont révélé qu'il existe des millions de dépôts git privés qui, en fait, ne sont pas si privés que cela.Il existe de nombreuses façons pour que .git s'étende à des endroits qui ne sont peut-être pas prévus. Il peut s'agir d'une mauvaise configuration d'une sauvegarde, ou d'une tentative d'hébergement de votre propre serveur git, mais généralement, il s'agit d'un problème de déploiement. Un exemple qui s'est produit plusieurs fois est celui d'un site Web statique, si quelqu'un utilise Amazon S3 pour héberger son site, au lieu de télécharger la version actuelle, il a téléchargé un répertoire entier, y compris le dossier .git. Pour quiconque comprend à quel point ces fichiers sont sensibles, il semble improbable et choquant que cela se produise, mais cela arrive, près de 2 millions de fois selon cyber.
Près de 200 Go de code source de Samsung et le code source de la dernière technologie DLSS de Nvidia ont été publiés en ligne par le groupe ce pirates Lapsus dollars. Lapsus a également poursuivi son rythme prolifique d'intrusions en divulguant le code source interne de 250 projets Microsoft, ce qui, selon le groupe, représente 90 % du code source de Bing et 45 % du code source de Bing Maps et Cortana.
Ces fuites interviennent après celles, publiques, du code source de Samsung et de Nvidia, et après celles de Vodafone, Okta, Ubisoft et Mercado Libre. Bien que Lapsus$ cible également les comptes administrateurs, nous savons qu'il s'intéresse surtout au code source privé des entreprises. Ce code source est non seulement précieux pour découvrir les vulnérabilités des applications, mais aussi parce qu'il contient souvent des informations sensibles.
Bien qu'il ne soit pas certain de la manière dont Lapsus a obtenu l'accès initial, Microsoft avait déclaré dans un message sur le groupe qu'ils ont remarqué plusieurs techniques utilisées. Microsoft avait également déclaré que le groupe (qu'il appelle Dev-0537) a utilisé des comptes personnels d'employés qui ont peut-être divulgué des informations d'identification de l'entreprise, par exemple sur les dépôts Github publics personnels des employés.
Pourquoi l'exposition des dépôts git est-elle si problématique ?
Les dépôts Git ne sont pas conçus pour contenir des informations sensibles. Ils sont conçus pour permettre la collaboration et le partage du code source entre les développeurs et parfois la communauté dans son ensemble. Si le code source peut être un atout précieux pour les entreprises, sans doute l'atout le plus précieux d'une entreprise, le code source en lui-même n'est souvent pas si précieux pour les autres parties et les applications bien conçues ne devraient pas devenir vulnérables simplement parce que leur code source est exposé.
Toutefois, le code source contient souvent des informations sensibles. Des secrets tels que des clés API, des certificats de sécurité et d'autres informations d'identification sont très souvent exposés dans le code source. 6 % des dépôts git exposés, avaient les informations d'identification pour déployer leurs applications, accessibles publiquement au monde entier, dans le fichier de configuration.
Les entreprises ignorent souvent l'énorme problème des informations d'identification exposées dans les dépôts git, car elles se retranchent derrière l'argument selon lequel le code est privé et ne devrait donc pas être exposé. L'histoire récente nous montre que ce n'est pas le cas.
L'année dernière, on a découvert que les dépôts git de Twitch comportaient une erreur de configuration qui les rendait publiquement accessibles (d'une manière similaire à celle découverte par l'étude de CyberNews), ce qui a conduit à l'exposition de l'ensemble du code source de tous leurs projets (même les projets secrets). Dans ce cas particulier, tout le code source appartenant à Twitch a été exposé sur le forum 4chan, ce qui comprenait 6 000 dépôts Git internes et 3 000 000 de documents d'une taille combinée décompressée de 200 Go.
Cette fuite comprenait le code source de divers produits, projets secrets, filiales, outils internes et dépôts d'employés de Twitch. En outre, des informations provenant de bases de données, notamment les revenus des streamers, ont été exposées.
Même les gouvernements ne sont pas à l'abri de ce problème. Le gouvernement indien a connu une violation massive qui a révélé l'existence de centaines de serveurs git exposés qui ont révélé d'énormes quantités de fichiers sensibles, y compris des certificats de sécurité et même des rapports de police.
Le code source, presque toujours, contient plus que du code source. Dans l'histoire d'un projet, sur des branches de développement souvent oubliées, des informations sensibles sont cachées. C'est pourquoi, même si le code source n'est pas considéré comme un actif critique pour la sécurité, il doit être protégé et c'est pourquoi les dépôts de code privés qui sont publics sont une si grande préoccupation.
Si le dépôt git est protégé, il devient plus difficile, mais pas impossible, pour un acteur malveillant d'y avoir accès. En 2021, l'attaque de la chaîne d'approvisionnement de CodeCov a permis à des acteurs malveillants d'accéder à près de 20 000 dépôts git privés d'utilisateurs de CodeCov, dont HashiCorp, Twilio et Rapid7, même si ceux-ci n'ont jamais été exposés publiquement. Nous avons également vu des entreprises comme Uber voir leurs dépôts violés à cause d'un compte de développeur compromis.
Bien qu'il existe de nombreuses preuves montrant que les dépôts git sont des cibles de grande valeur pour les cybercriminels, on peut ajouter à ces preuves le fait que ces dépôts sont facilement accessibles par le biais d'un scan de domaine et d'IP recherchant des dossiers .git. Il est important de mieux protéger ces dépôts et analyser son infrastructure pour détecter les faiblesses exposées, il est aussi important de s’assurer que les données sensibles comme les informations secrètes ne sont pas dans le dépôts, ce qui constitue un effort minimal de sécurité.
Source : GitGuardian
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
Un hacker a caché 3,36 Mds $ de bitcoins volés, mais les fédéraux les ont trouvé. Une affaire qui rappelle que les transactions de crypto ne sont pas aussi anonymisées que certains pensent Cyberassurance : Swiss Re propose de renforcer la résilience pour la transformation numérique, elle prévoit que les primes atteindront 23 milliards de dollars en 2025 
