Pour gérer vos consentements :
Categories: AuthentificationCloudDéveloppeursDSIProjetsSécurité

TruffleHog, le limier des clés de chiffrement oubliées sur GitHub

Dylan Ayrey vient de publier un outil Open Source qui analyse les dépôts Git pour dénicher des clés de chiffrement oubliées par les développeurs. Cette solution est baptisée TruflleHog (cochon truffier) et donne aux administrateurs les moyens de trouver et supprimer des données sensibles, comme les clés de cryptage.

Le chercheur en sécurité précise que TruffleHog localise n’importe quelle clé à entropie élevée. Pour cela, il fouille dans les tréfonds de l’historique du commit et des branches. Concrètement, le module, après avoir parcouru l’intégralité de l’historique de validation du commit, vérifie les diff de chaque commit et évalue l’entropie de Shannon pour l’ensemble des caractères base64 mais aussi pour l’ensemble des caractères hexadécimaux pour chaque bloc de texte supérieur à 20 caractères compris dans ces jeux de caractères dans chaque diff. Quand une chaîne d’entropie élevée est supérieure à 20 caractères, elle est affichée sur l’écran. TruffleHog nécessite l’installation de GitPython pour marcher, précise son concepteur.

Un outil à double tranchant

Amazon Web Services utilise déjà un outil similaire pour trouver dans GitHub des clés AWS qui pourraient avoir été divulguées par accident et les bloquer. En 2014, le fournisseur de Cloud public avait eu la désagréable surprise de voir un chercheur publier 10 000 clés pour les services d’AWS, dont EC2, laissées par des développeurs négligents sur leur référentiel GitHub.  En 2016, d’autres spécialistes avaient mis la main sur 1500 tokens de Slack laissés en dur par des développeurs sur GitHub. Des données d’authentification permettant d’accéder au chat, aux fichiers, aux messages privées, et autres données sensibles partagées par les équipes de Slack.

L’outil de Dylan Arrey est donc loin d’être anecdotique. Le revers de la médaille est que les cybercriminels vont aussi s’y intéresser. Il s’agit d’une très bonne solution pour scanner les référentiels sur GitHub et découvrir des vulnérabilités critiques.

A lire aussi :

Développement : GitHub lance les dépôts privés illimités

Git.psi.i2p : un GitHub à la sauce Dark Web

Share
Published by
Jacques Cheminat
Tags: AWSGitHubtoken
8 années ago

Recent Posts

Des grands projets aux enjeux d’avenir, une Dinum en manque de légitimité

La Cour des comptes estime que la Dinum doit construire sa légitimité, autant au vu…

5 heures ago

Beta.gouv, miroir des « résultats contrastés » de la Dinum

La Cour des comptes pointe les « résultats contrastés » de la Dinum sur son…

9 heures ago

Entre explications et remèdes, Crowdstrike en gestion de crise

Au cours du week-end, Crowdstrike a structuré une réponse face à l'incident majeur qu'a causé…

10 heures ago

Windows et Azure sont tombés : Crowdstrike à la source d’une panne informatique mondiale

Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…

3 jours ago

Les choix d’OpenAI pour GPT-4o mini

Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…

3 jours ago

Le Réseau interministériel de l’État, sujet à dépendance

La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…

4 jours ago