Des milliers de sites Web, y compris ceux appartenant à de grandes banques et prestataires de soins de santé, ont divulgué par inadvertance des informations d’identification de sécurité sensibles, accordant potentiellement un accès non autorisé à des systèmes critiques. Une nouvelle étude révèle que les clés privées RSA et autres informations d’identification API restent accessibles au public pendant des mois, voire des années, ce qui présente un risque important pour l’infrastructure numérique.
L’étendue du problème
Des chercheurs de l’Université de Stanford ont analysé 10 millions de pages Web et identifié 1 748 informations d’identification actives provenant de 14 principaux fournisseurs de services – dont Amazon Web Services, Stripe, GitHub et OpenAI – réparties sur près de 10 000 sites Web. Ces informations d’identification agissent comme des jetons d’accès aux plateformes cloud, aux processeurs de paiement et aux services de messagerie, permettant aux attaquants d’usurper l’identité des serveurs, de décrypter les communications ou de prendre le contrôle administratif.
Le problème n’est pas une faute directe des fournisseurs de services eux-mêmes, mais découle des mauvaises pratiques de sécurité de la part des développeurs de logiciels et des opérateurs de sites Web. Les chercheurs ont identifié les entités concernées, notamment une « institution financière mondiale d’importance systématique », un « développeur de micrologiciels » et une « plateforme d’hébergement majeure ».
Comment les informations d’identification sont divulguées
La majorité (84 %) des informations d’identification exposées ont été trouvées dans des environnements JavaScript, probablement en raison de la manière dont les développeurs regroupent le code. 16 % supplémentaires provenaient de ressources tierces mal configurées, telles que des plugins ou des scripts vulnérables.
“Aucun de ces développeurs n’avait l’intention de ne pas être sécurisé ; beaucoup d’entre eux n’ont même pas commis d’erreur en premier lieu. Les clés API ont plutôt été rendues publiques en raison de bizarreries de programmation associées à la façon dont le langage fonctionne et s’exécute sur le serveur.” – Katie Paxton-Fear, Université métropolitaine de Manchester.
Cela met en évidence une vulnérabilité systémique dans laquelle même des pratiques de développement sécurisées peuvent conduire par inadvertance à une exposition en raison de bizarreries de programmation sous-jacentes.
Réponse et atténuation
Les chercheurs ont informé les organisations concernées et environ la moitié ont supprimé les clés exposées en deux semaines. Cependant, certaines entités n’ont pas répondu, laissant les informations d’identification accessibles au public pendant 12 mois en moyenne – certaines restant en ligne jusqu’à cinq ans.
S’attaquer à ce problème nécessite une approche à plusieurs facettes : les développeurs doivent configurer les environnements avec soin, les créateurs d’outils doivent concevoir des logiciels pour masquer les clés secrètes par défaut, et les plates-formes d’hébergement doivent rechercher et désactiver activement les informations d’identification divulguées.
La nature répandue de cette vulnérabilité souligne une faille critique dans le développement de logiciels modernes. Les clés API, lorsqu’elles sont mal configurées, peuvent permettre aux attaquants d’agir en tant qu’utilisateurs autorisés, avec des conséquences catastrophiques. Le problème n’est pas seulement technique ; c’est aussi une question de prise de conscience et de responsabilité partagée dans l’ensemble de l’écosystème numérique.
