La pêche aux identifiants ? Un exercice bien trop simple…

A l’automne dernier, Wordfence lançait l’alerte : des pirates redoublaient d’efforts pour trouver des clés privées utilisées avec SSH sur des serveurs accessibles en ligne, et surtout mal configurés. Dans un billet de blog, son Pdg et fondateur, Mark Maunder, rappelait le risque : « si votre clé privée SSH se retrouve dans la nature, n’importe qui peut l’utiliser pour accéder à un serveur sur lequel vous avez configuré une authentification par clé numérique. Il est très important de garder en sécurité votre clé privée ».

Pour aider les entreprises à identifier leurs serveurs susceptibles d’exposer de telles clés, les équipes de Wordfence avaient mis en place un service : Gravityscan. Depuis, elles ont décidé de le fermer, officiellement faute d’une clientèle suffisante.

La réalité est qu’il n’est malheureusement pas nécessaire d’aller bien loin pour trouver des clés privées. Une recherche via Google peut souvent suffire. Que cette exposition relève de l’inconscience ou de la négligence, peu importe : un défaut de configuration, permettant l’indexation de tout ou partie du système de fichiers, est suffisant pour engendrer une telle situation.

En novembre dernier, une étude conduite par Dimensional Research pour Venafi, présentait un état des lieux préoccupant : 61 % reconnaissaient ainsi n’appliquer ni surveillance, ni limitation du nombre d’administrateurs SSH ; et 90 % assuraient ne pas avoir d’inventaire complet de toutes leurs clés SSH.

Dans un tel contexte, l’affirmation d’Elizabeth Lawler, selon laquelle DevSecOps se concentre trop sur la chaîne logistique du logiciel, apparaît pour le moins fondée. En 2013, elle avait fondé Conjur, spécialiste de la gestion des secrets d’authentification, qu’il s’agisse d’identifiants de comptes, de clés SSH ou encore de clés d’API, depuis racheté par CyberArk.

Surtout, cela ne s’arrête pas là. L’an passé, des chercheurs ont trouvé, publiquement accessible sur GitHub, une liste de ce qui semblait être des identifiants permettant d’accéder à des systèmes de Deloitte : serveur VPN, environnement de développement, etc. Et cela valait également pour Equifax !

#bugbountytip #osint: Search for public Trello boards of companies, to find login credentials, API keys, etc. or if you aren't lucky enough, then you may find companies' Team Boards sometimes with tasks to fix security vulnerabilities

— Kushagra Pathak (@xKushagra) April 25, 2018

Les entrepôts de données potentiellement sensibles ne manquent pas, en ligne. Outre Github, on peut penser à Pastebin. Mais récemment, Kushagra Pathak s’est penché sur le très tendance service d’aide à la gestion de projets Trello. Et là encore, sans surprise, en passant par Google, de nombreuses données d’authentification sont rapidement et aisément accessibles, probablement alors même que les auteurs des tableaux correspondants n’en ont pas la moindre idée.

Selon Kushagra Pathak, « certaines entreprises utilisent des tableaux Trello publics pour gérer bugs et vulnérabilités trouvés dans leurs applications et sites Web ». De quoi, encore une fois, soulever la question de la sensibilisation aux risques de sécurité, et des populations auxquelles elle s’adresse.