Discussion :

[Patrick Ruiz]

Les développeurs ne semblent pas pouvoir s'empêcher de divulguer des informations sensibles dans du code accessible au public, d’après une enquête
Qui dévoile de mauvaises pratiques de codage

En dépit de plus d'une décennie de rappels, d'incitations et de harcèlements, un nombre surprenant de développeurs ne parviennent toujours pas à débarrasser leur code des informations sensibles qui donnent les clés de leur royaume à quiconque prend le temps de les chercher. De nombreuses de ces tares sont le fait de très grandes entreprises qui disposent d'équipes de sécurité en principe solides. Ces lacunes découlent de mauvaises pratiques de codage dans lesquelles les développeurs intègrent des clés cryptographiques, des jetons de sécurité, des mots de passe et d'autres formes d'informations d'identification directement dans le code source. C’est ce que rapporte une enquête de la firme de sécurité GitGuardian.

Les chercheurs de cette société de sécurité ont annoncé avoir trouvé près de 4000 de ces informations en principe secrètes dans un total de 450 000 projets soumis à PyPI, le dépôt de code officiel pour le langage de programmation Python. Près de 3000 projets contenaient au moins un secret unique. De nombreux secrets ont été divulgués plus d'une fois, ce qui porte le nombre total de secrets exposés à près de 57 000.

Les informations exposées permettaient d'accéder à toute une série de ressources, notamment les serveurs Microsoft Active Directory qui fournissent et gèrent les comptes dans les réseaux d'entreprise, les serveurs OAuth permettant l'authentification unique, les serveurs SSH et les services tiers pour les communications avec les clients et les crypto-monnaies. Quelques exemples :

• clés API Azure Active Directory ;
• clés d'application OAuth de GitHub ;
• identifiants de base de données pour des fournisseurs tels que MongoDB, MySQL et PostgreSQL ;
• clé Dropbox ;
• clés Auth0 ;
• informations d'identification SSH ;
• informations d'identification Coinbase
• informations d'identification principales de Twilio.

Les clés d'API permettant d'interagir avec divers services Google Cloud, les identifiants de bases de données et les jetons contrôlant les robots Telegram, qui automatisent les processus sur le service de messagerie, font également partie du lot. Le récent rapport indique que les expositions dans ces trois catégories ont régulièrement augmenté au cours de l'année ou des deux dernières années. Les secrets ont été exposés dans différents types de fichiers publiés sur PyPI. Il s'agit notamment de fichiers .py primaires, de fichiers README et de dossiers de test.

Toyota, Samsung, Nvidia, Twitch, etc. : plusieurs grosses enseignes sont concernées

Le 7 octobre 2022, Toyota, le constructeur automobile basé au Japon, a révélé qu'il avait accidentellement exposé un identifiant permettant d'accéder aux données des clients dans un dépôt GitHub public pendant près de 5 ans. Le code a été rendu public de décembre 2017 à septembre 2022. Bien que Toyota affirme avoir invalidé la clé, toute exposition aussi longue pourrait signifier que plusieurs acteurs malveillants avaient déjà acquis l'accès.

Ce qui s'est passé

En 2014, Toyota a introduit un nouveau service télématique appelé T-Connect pour ses clients. Toyota T-Connect est l'application de connectivité officielle du constructeur automobile qui permet aux propriétaires de voitures Toyota de relier leur smartphone au système d'info-divertissement du véhicule pour les appels téléphoniques, la musique, la navigation, l'intégration des notifications, les données de conduite, l'état du moteur, la consommation de carburant… Toyota a découvert récemment qu'une partie du code source du site T-Connect avait été publiée par erreur sur GitHub et contenait une clé d'accès au serveur de données qui stockait les adresses électroniques et les numéros de gestion des clients. Les serveurs qui contrôlent ces options contiennent des numéros d'identification et des courriels uniques des clients.

En décembre 2017, alors qu'il travaillait avec un sous-traitant non nommé, une partie du code source de T-Connect a été téléchargée sur un dépôt GitHub public. À l'intérieur du dépôt se trouvait une clé d'accès codée en dur pour le serveur de données qui gère les informations des clients. Quiconque trouvait cette clé d'accès pouvait accéder au serveur, obtenant ainsi un accès pour 296 019 clients. Ce n'est que le 15 septembre 2022 que quelqu'un a remarqué que ce dépôt était public et que les données des clients étaient potentiellement exposées. Toyota a depuis rendu le dépôt privé et a invalidé et remplacé toutes les informations d'identification de connexion affectées.

Toyota a imputé l'erreur à un sous-traitant de développement, mais a reconnu sa responsabilité dans la mauvaise gestion des données des clients et s'est excusé pour tout désagrément causé. Le constructeur automobile japonais conclut que, bien qu'il n'y ait aucun signe de détournement de données, il ne peut exclure la possibilité que quelqu'un ait accédé aux données et les ait volées. « À la suite d'une enquête menée par des experts en sécurité, bien que nous ne puissions pas confirmer l'accès par un tiers sur la base de l'historique d'accès au serveur de données où sont stockés l'adresse e-mail du client et le numéro de gestion du client, dans le même temps, nous ne pouvons pas le nier complètement », - explique l'avis.

Source : GitGuardian

Et vous ?

Ces chiffres sont-ils cohérents avec la réalité dont vous êtes au fait ?
Comment expliquer que ce genre de tares continuent de perdurer dans la filière en dépit de plus d'une décennie de rappels et d'incitations à l’endroit des intervenants que sont les programmeurs ? La qualité des programmeurs est-elle à remettre en question ?
Cette situation est-elle particulière au dépôt de code officiel pour le langage de programmation Python ? Sinon quels sont les autres écosystèmes qui sont tout autant concernés ?

Voir aussi :

Près de 200 Go de code source de Samsung et le code source de la dernière technologie DLSS de Nvidia ont été publiés en ligne par les pirates Lapsus$, GitGuardian a découvert 6 695 clés de Samsung

Le code source de Twitch, les gains des streamers et des outils internes ont fuité en ligne, Twitch a confirmé avoir subi une violation de données suite à un changement de configuration

Compromission du code PHP : les responsables de PHP reprochent désormais une fuite de la base de données utilisateurs master.php.net, plutôt qu'un problème avec le serveur lui-même

Nintendo aurait souffert d'une fuite importante de ses anciennes consoles, le code source, les documents de développement et autres auraient été divulgués

[marsupial]

Comment expliquer que ce genre de tares continuent de perdurer dans la filière en dépit de plus d'une décennie de rappels et d'incitations à l’endroit des intervenants que sont les programmeurs ? La qualité des programmeurs est-elle à remettre en question ?

Souvent pressés par le temps, les développeurs choisissent la solution de facilité de coder en dur les accès. En se disant qu'ils y reviendront plus tard. Mais il faut mettre en production et ils oublient. On ne peut pas remettre en question la qualité des programmeurs mais celles d'équipes dédiées à la sécurité dont devrait être pourvu chaque développement. Lorsqu'on voit MS se bananer avec les authentifications de messagerie Outlook dans des core dump, on est en droit de se demander quel est le niveau de sécurité des softs produits par la deuxième capitalisation mondiale.

Cette situation est-elle particulière au dépôt de code officiel pour le langage de programmation Python ? Sinon quels sont les autres écosystèmes qui sont tout autant concernés ?

Non ce n'est pas spécifique à Python. Dans une news de dvp évoquant github, des dizaines ou des centaines de milliers d'accès sont codés en dur dans les programmes hébergés par la plateforme. Cela concerne tous les langages.

Ces chiffres sont-ils cohérents avec la réalité dont vous êtes au fait ?

Complètement. Déjà si dans les magazines de vulgarisation comme pour raspberry on évitait de montrer des progs avec les accès codés en dur avec pour prétexte que les grandes entreprises font pareils, l'éducation serait meilleure et on n'aurait pas 15% des développements touchés par cette méthode.

[Fagus]

J'imagine que les gens ne sont pas assez sensibilisés aux bonnes pratiques et qu'on leur donne pas des outils tout cuits pour ça.

En vrai, en tant qu'humains, on sait ce que c'est d'avoir la flemme (de saisir son code 50x par jour...), faut pas s'étonner qu'il finisse en dur...

Mais c'est vraiment dommageable de l'envoyer dans un dépôt public. S'il y a la moindre chance que ça arrive, il faudrait avoir une lib dans le langage ciblé, qui puisse demander en mémoire les identifiants à un gestionnaire de mots de passe chiffré. Comme ça, au pire même si tout fuite ou est volé, c'est chiffré.