fbpx

Une analyse de plusieurs milliards de fichiers a été faite. Cette analyse porte sur 13% de tous les référentiels publics GitHub et a révélé que plus de 100 000 dépôts avaient laissé fuir des tokens API et des clefs cryptographiques. De plus, des milliers de nouveaux dépôts dévoilent chaque jour de nouveaux secrets.

L’analyse a fait l’objet de recherches universitaires effectuées par une équipe de la North Carolina State University (NCSU). Les résultats de l’étude ont été partagés avec GitHub, qui a exploité les résultats pour accélérer ses travaux sur une nouvelle fonctionnalité de sécurité actuellement en Bêta appelée Token Scanning.

Des universitaires s'y intéressent

Les universitaires du NCSU ont analysé les comptes GitHub pendant une période de six mois, du 31 octobre 2017 au 20 avril 2018, et ont recherché des chaînes de texte au format similaire à des tokens d’API et des clefs cryptographiques.

Ils ne se sont pas contenté d’utiliser l’API de recherche GitHub pour rechercher ces modèles de texte, à l’instar d’autres efforts de recherche antérieurs, mais ils ont également consulté les instantanés de dépôts GitHub enregistrés dans la base de données BigQuery de Google.

Au cours de la période de six mois, les chercheurs ont analysé des milliards de fichiers provenant de millions de dépôts GitHub. Plusieurs milliards de données sont ainsi passées et ont été observées.

Dans une étude publiée le mois dernier, le NCSU a capturé et analysé 4 394 476 fichiers représentant 681 784 dépôts à l’aide de l’API de recherche GitHub, ainsi que 2 312 763 353 fichiers enregistrés dans la base de données BigQuery de Google.

L’équipe NCSU a analysé les tokens API de 11 entreprises Dans cette gigantesque pile de fichiers, les chercheurs ont recherché des chaînes de texte au format de tokens API ou de clefs cryptographiques qui comprenaient les formats de clé d’API utilisés par Google, Amazon, Twitter, Facebook, Mailchimp, MailGun, Stripe, Twilio, Square, Braintree et Picatic.

Un problème pas si inconnu

Le problème des développeurs qui laissent leurs tokens API et leurs clefs cryptographiques dans le code source des applications et des sites web n’est pas nouveau. Amazon a demandé aux développeurs d’analyser leur code et de supprimer toutes les clefs AWS des dépôts publics dès 2014, et a même publié un outil pour les aider à analyser les dépôts avant de valider le code dans un répertoire public.

source : zdnet, google

Author

Write A Comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Pin It
%d blogueurs aiment cette page :