Introduction
L'agence de cybersécurité américaine CISA a échappé à une faille de sécurité majeure grâce à un chercheur en sécurité qui a identifié des informations d'identification exposées publiquement, permettant l'accès à des systèmes cloud et internes de l'agence.
Contexte Technique
Un employé d'un sous-traitant de la CISA a publié par erreur des tableurs contenant des informations d'identification en texte brut sur un référentiel GitHub. Ces informations comprenaient des jetons d'accès, des clés cloud et d'autres fichiers sensibles. Le chercheur en sécurité Guillaume Valadon a découvert ces informations et les a testées pour vérifier leur validité.
La CISA est responsable de la cybersécurité au sein du réseau fédéral civil et conseille sur les meilleures pratiques de cybersécurité, notamment le stockage de mots de passe dans des gestionnaires de mots de passe sécurisés et non dans des tableurs non protégés.
Analyse et Implications
Cette faille de sécurité est particulièrement embarrassante pour la CISA, car elle met en évidence les risques liés à la gestion des informations d'identification par les sous-traitants. La CISA est responsable de la sécurité de son propre réseau et de ses systèmes, y compris ceux de ses sous-traitants.
Il n'est pas clair si quelqu'un d'autre que Valadon a trouvé ou utilisé les informations d'identification exposées. La CISA n'a pas commenté l'incident ou confirmé si des preuves de faille de sécurité ont été trouvées.
Perspective
Il est essentiel que la CISA prenne des mesures pour renforcer la sécurité de ses systèmes et de ses sous-traitants, notamment en mettant en place des protocoles de gestion des informations d'identification plus robustes. La perte d'environ un tiers de son effectif depuis les coupes, les congédiements et les licenciements pourrait avoir un impact sur la capacité de l'agence à gérer efficacement ses systèmes et ses sous-traitants.
