IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des millions de dossiers .git exposés publiquement par erreur


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2019
    Messages
    1 138
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : mai 2019
    Messages : 1 138
    Points : 22 941
    Points
    22 941
    Par défaut Des millions de dossiers .git exposés publiquement par erreur
    Des millions de dossiers .git exposés publiquement par erreur,
    une nouvelle étude le montre

    2022 a été l'année des fuites de code source ; Microsoft, Nvidia, Samsung, Rockstar et bien d'autres entreprises ont vu leur code source involontairement mis en ligne. La fuite de code source interne se produit avec une régularité alarmante ces dernières années. De nouvelles recherches menées par CyberNews ont révélé qu'il existe des millions de dépôts git privés qui, en fait, ne sont pas si privés que cela.

    Il existe de nombreuses façons pour que .git s'étende à des endroits qui ne sont peut-être pas prévus. Il peut s'agir d'une mauvaise configuration d'une sauvegarde, ou d'une tentative d'hébergement de votre propre serveur git, mais généralement, il s'agit d'un problème de déploiement. Un exemple qui s'est produit plusieurs fois est celui d'un site Web statique, si quelqu'un utilise Amazon S3 pour héberger son site, au lieu de télécharger la version actuelle, il a téléchargé un répertoire entier, y compris le dossier .git. Pour quiconque comprend à quel point ces fichiers sont sensibles, il semble improbable et choquant que cela se produise, mais cela arrive, près de 2 millions de fois selon cyber.

    Nom : gitExpo.png
Affichages : 1473
Taille : 107,0 Ko

    Près de 200 Go de code source de Samsung et le code source de la dernière technologie DLSS de Nvidia ont été publiés en ligne par le groupe ce pirates Lapsus dollars. Lapsus a également poursuivi son rythme prolifique d'intrusions en divulguant le code source interne de 250 projets Microsoft, ce qui, selon le groupe, représente 90 % du code source de Bing et 45 % du code source de Bing Maps et Cortana.

    Ces fuites interviennent après celles, publiques, du code source de Samsung et de Nvidia, et après celles de Vodafone, Okta, Ubisoft et Mercado Libre. Bien que Lapsus$ cible également les comptes administrateurs, nous savons qu'il s'intéresse surtout au code source privé des entreprises. Ce code source est non seulement précieux pour découvrir les vulnérabilités des applications, mais aussi parce qu'il contient souvent des informations sensibles.

    Bien qu'il ne soit pas certain de la manière dont Lapsus a obtenu l'accès initial, Microsoft avait déclaré dans un message sur le groupe qu'ils ont remarqué plusieurs techniques utilisées. Microsoft avait également déclaré que le groupe (qu'il appelle Dev-0537) a utilisé des comptes personnels d'employés qui ont peut-être divulgué des informations d'identification de l'entreprise, par exemple sur les dépôts Github publics personnels des employés.

    Pourquoi l'exposition des dépôts git est-elle si problématique ?

    Les dépôts Git ne sont pas conçus pour contenir des informations sensibles. Ils sont conçus pour permettre la collaboration et le partage du code source entre les développeurs et parfois la communauté dans son ensemble. Si le code source peut être un atout précieux pour les entreprises, sans doute l'atout le plus précieux d'une entreprise, le code source en lui-même n'est souvent pas si précieux pour les autres parties et les applications bien conçues ne devraient pas devenir vulnérables simplement parce que leur code source est exposé.

    Toutefois, le code source contient souvent des informations sensibles. Des secrets tels que des clés API, des certificats de sécurité et d'autres informations d'identification sont très souvent exposés dans le code source. 6 % des dépôts git exposés, avaient les informations d'identification pour déployer leurs applications, accessibles publiquement au monde entier, dans le fichier de configuration.

    Nom : 321.jpg
Affichages : 1435
Taille : 20,6 Ko

    Les entreprises ignorent souvent l'énorme problème des informations d'identification exposées dans les dépôts git, car elles se retranchent derrière l'argument selon lequel le code est privé et ne devrait donc pas être exposé. L'histoire récente nous montre que ce n'est pas le cas.

    L'année dernière, on a découvert que les dépôts git de Twitch comportaient une erreur de configuration qui les rendait publiquement accessibles (d'une manière similaire à celle découverte par l'étude de CyberNews), ce qui a conduit à l'exposition de l'ensemble du code source de tous leurs projets (même les projets secrets). Dans ce cas particulier, tout le code source appartenant à Twitch a été exposé sur le forum 4chan, ce qui comprenait 6 000 dépôts Git internes et 3 000 000 de documents d'une taille combinée décompressée de 200 Go.

    Cette fuite comprenait le code source de divers produits, projets secrets, filiales, outils internes et dépôts d'employés de Twitch. En outre, des informations provenant de bases de données, notamment les revenus des streamers, ont été exposées.

    Même les gouvernements ne sont pas à l'abri de ce problème. Le gouvernement indien a connu une violation massive qui a révélé l'existence de centaines de serveurs git exposés qui ont révélé d'énormes quantités de fichiers sensibles, y compris des certificats de sécurité et même des rapports de police.

    Le code source, presque toujours, contient plus que du code source. Dans l'histoire d'un projet, sur des branches de développement souvent oubliées, des informations sensibles sont cachées. C'est pourquoi, même si le code source n'est pas considéré comme un actif critique pour la sécurité, il doit être protégé et c'est pourquoi les dépôts de code privés qui sont publics sont une si grande préoccupation.

    Si le dépôt git est protégé, il devient plus difficile, mais pas impossible, pour un acteur malveillant d'y avoir accès. En 2021, l'attaque de la chaîne d'approvisionnement de CodeCov a permis à des acteurs malveillants d'accéder à près de 20 000 dépôts git privés d'utilisateurs de CodeCov, dont HashiCorp, Twilio et Rapid7, même si ceux-ci n'ont jamais été exposés publiquement. Nous avons également vu des entreprises comme Uber voir leurs dépôts violés à cause d'un compte de développeur compromis.

    Bien qu'il existe de nombreuses preuves montrant que les dépôts git sont des cibles de grande valeur pour les cybercriminels, on peut ajouter à ces preuves le fait que ces dépôts sont facilement accessibles par le biais d'un scan de domaine et d'IP recherchant des dossiers .git. Il est important de mieux protéger ces dépôts et analyser son infrastructure pour détecter les faiblesses exposées, il est aussi important de s’assurer que les données sensibles comme les informations secrètes ne sont pas dans le dépôts, ce qui constitue un effort minimal de sécurité.

    Source : GitGuardian

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi :

    Un hacker a caché 3,36 Mds $ de bitcoins volés, mais les fédéraux les ont trouvé. Une affaire qui rappelle que les transactions de crypto ne sont pas aussi anonymisées que certains pensent

    Cyberassurance : Swiss Re propose de renforcer la résilience pour la transformation numérique, elle prévoit que les primes atteindront 23 milliards de dollars en 2025
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    mars 2006
    Messages
    1 398
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2006
    Messages : 1 398
    Points : 3 403
    Points
    3 403
    Par défaut
    oui donc ya pas de probleme exposer un .git, c'est juste plein de dev commit leur cle d'api's et autre tokens... s'ils respectaient ce qu'on leur dit depuis plus de x années, yaurais pas de pb en cas d'acces au .git

Discussions similaires

  1. Réponses: 0
    Dernier message: 14/03/2021, 21h08
  2. Réponses: 47
    Dernier message: 23/07/2010, 15h25
  3. Réponses: 0
    Dernier message: 22/04/2009, 10h15
  4. Réponses: 0
    Dernier message: 25/07/2007, 12h17
  5. Réponses: 7
    Dernier message: 23/10/2005, 22h52

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo