Des centaines de milliers de sites Web, dont des milliers utilisant le domaine .gov, risquent de perdre des données (s’ouvre dans un nouvel onglet)les experts ont mis en garde.
Les chercheurs en cybersécurité de Defense.com ont découvert une vulnérabilité dans l’outil de développement open source Git qui, si elle n’est pas corrigée, donne aux acteurs de la menace les clés du royaume.
Apparemment, il existe un certain nombre de dossiers .git qui doivent être masqués, mais dans de nombreux cas, ils ne le sont pas. Bien qu’il s’agisse d’un grave défaut, ce n’est pas directement la faute de Git, disent les chercheurs, mais plutôt les utilisateurs de Git qui ne suivent pas les meilleures pratiques. Avec l’aide d’un dork Google spécialement conçu, un acteur malveillant pourrait trouver ces dossiers et télécharger leur contenu.
Élimination des risques
Les fichiers contenus dans ces dossiers contiennent généralement l’intégralité de l’historique de la base de code, les modifications de code précédentes, les commentaires, les clés de sécurité, ainsi que les chemins distants sensibles contenant des secrets et des fichiers avec des mots de passe en texte brut. Outre la menace évidente d’exposer les mots de passe et les données sensibles, il existe également une menace cachée – les pirates pourraient examiner le code et trouver des failles supplémentaires qu’ils ne corrigeront probablement pas mais à la place – en abusant. De plus, ces dossiers peuvent contenir des informations d’identification de base de données et des clés API, donnant en outre aux acteurs de la menace un accès aux données utilisateur sensibles.
Au total, selon Defense.com, 332 000 sites Web ont été jugés potentiellement vulnérables, dont 2 500 résidant sur le domaine .gov.
« Open source (s’ouvre dans un nouvel onglet) la technologie a toujours un potentiel de failles de sécurité, étant enracinée dans un code accessible au public. Cependant, ce niveau de vulnérabilité n’est pas acceptable », a commenté Oliver Pinson-Roxburgh, PDG de Defense.com. « Les organisations, y compris le gouvernement britannique, doivent s’assurer qu’elles surveillent leurs systèmes et prennent des mesures immédiates pour remédier aux risques. »
Git est un système de contrôle de version open source extrêmement populaire, comptant plus de 80 millions d’utilisateurs actifs, ajoute Pinson-Roxburgh, affirmant que ce type de vulnérabilité, sur une plate-forme aussi populaire, peut avoir de « graves conséquences » pour les entreprises concernées.
« S’il est vrai que certains dossiers auraient été délibérément laissés accessibles, la grande majorité n’aura pas conscience de la menace à laquelle ils sont confrontés », a-t-il conclu.