Hier, des nouvelles ont indiqué que le géant allemand du constructeur automobile Mercedes-Benz aurait pu exposer absolument tout son code source sur Internet, ouvrant ainsi la porte à quiconque pouvait le télécharger, le distribuer sur Internet et même le vendre à d’autres entreprises. Mais comment cela a-t-il été possible ? Qu’est-il exactement arrivé?
Un oubli d’un employé de Mercedes-Benz
Un chercheur en sécurité (heureusement du « bon côté ») de la société RedHunt Labs a prévenu que, lors d’une analyse de routine, il avait trouvé le jeton d’accès dans un référentiel public que l’employé possédait à titre personnel. Ce token est une alternative plus sécurisée au nom d’utilisateur/mot de passe classique pour accéder à un serveur depuis n’importe où (par exemple depuis la maison). Cela permettait spécifiquement à l’employé de se connecter au Serveur d’entreprise Mercedez-Benz GitHub pour travailler avec le code.
Ce jeton était d’une utilisation non surveillée et disposait de privilèges absolus au sein du serveur de codes de l’entreprise. Plus précisément, au sein des serveurs se trouvaient tous les codes sources des logiciels des véhicules, chaînes de connexion, clés d’accès au cloud, des plans, documents de conception, mots de passe, Clés API et d’autres informations internes critiques. De plus, des clés d’accès à Microsoft Azure et Amazon Web Services ont également été trouvées.
En plus de tout ce qui précède, cette faille de sécurité aurait pu nuire à la réputation du fabricant, ce qui aurait pu affecter le prix et les investissements futurs.
Bug déjà corrigé
Il ne fait aucun doute qu’il s’agit d’un erreur humaine, assurent les responsables de l’entreprise. Comment cela a-t-il pu se produire est un mystère. Très probablement, ce travailleur avait ses propres référentiels chez lui et, lors de la validation du code, ce jeton d’accès a été téléchargé par inadvertance.
À l’heure actuelle, la société analyse si quelqu’un d’autre a pu accéder à ses serveurs à l’aide de ce jeton, puisqu’elle avait GitHub, accessible à tous, à partir de septembre 2023. Après avoir soigneusement analysé le cas et suivi ses propres protocoles, l’entreprise annonce qu’elle prendra des mesures pour éviter que cela ne se reproduise à l’avenir. Et la première de ces mesures est son propre programme de récompenses pour ceux qui découvrent des failles de sécurité.
Malgré tout, plusieurs questions restent en suspens. Pourquoi un employé disposerait-il d’un token non surveillé avec un accès illimité à l’ensemble du serveur ? Soit il occupait une position très élevée au sein de Mercedes-Benz, soit une mauvaise configuration des tokens par l’entreprise.
C’est déjà arrivé d’autres fois
Ce n’est pas la première fois que, au sein du code GitHub, sont publiées des données confidentielles susceptibles de conduire à des attaques informatiques. Par exemple, de nombreux développeurs qui téléchargent du code incluent les clés API de test de leurs projets dans leur code, avec lesquelles n’importe qui peut s’authentifier. Sans aller plus loin, un autre exemple très célèbre s’est produit en octobre 2022quand on a découvert que Toyota Cela faisait 5 ans qu’il exposait la clé GitHub, à partir de laquelle on pouvait accéder aux informations confidentielles des clients.
Des mots de passe privés, des cookies de session et d’autres types de fichiers privés qui ne devraient pas faire partie du code mais qui, à cause de l’inattention du programmeur, s’y retrouvent ont également été trouvés dans les référentiels. Pour cette raison, il est d’une importance vitale de veiller à bien configurer Git et GitHub, à ce que tout le code téléchargé sur la plateforme soit toujours propre et à ce que nous examinions très bien les commits pour nous assurer qu’aucun fichier ne voyage comme il le devrait lorsque nous le faisons. synchroniser le fichier.