Alerte du FBI: l’outil genevois SonarQube lié à du piratage de code source
Editée par une firme genevoise, la solution de revue de code SonarQube expose le code source de milliers d’entreprises, alerte le FBI. En cause: non pas une faille dans l'outil, mais des instances mal configurées par les utilisateurs.
Le FBI a publié une alerte concernant les risques liés à la solution SonarQube, édité par le firme genevoise SonarSource. Plateforme open source de revue de code automatisée, SonarQube permet de découvrir des bugs et vulnérabilités pour 27 langages de programmation. Selon le FBI, des serveurs SonarQube mal configurés ont été exploités par des cyberpirates depuis avril 2020, afin d’accéder à du code source appartenant à des agences fédérales US ainsi qu’à des entreprises.
En juillet dernier, des risques liés à différents outils DevOps dont SonarQube avaient déjà été divulgués par Tillie Kottmann, spécialiste suisse en reverse engineering, selon le site spécialisé BleepingComputer. Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Nintendo ou encore Disney sont touchés. Selon Tillie Kottmann, le code de milliers d'entreprise est exposé à cause de serveurs SonarQube mal configurés.
SonarSource avait rapidement réagi via un billet de blog, s'empressant de souligner que l’accès au code source via son outil n’était possible qu’en cas d'instances mal configurées et non pas à cause d'une quelconque vulnérabilité dans SonarQube. L’éditeur précisait en outre que les instances exposées sont celles non protégées par un firewall et accessibles via le web.
Port par défaut et adresse IP accessible
Dans son alerte, le FBI détaille le mode opératoire des attaquants, qui scannent d’abord le web en quête d’instances SonarQube exposées utilisant le port par défaut (9000) et une adresse IP accessible au public. Ils accèdent ensuite aux codes sources cibles en utilisant les identifiants par défaut (nom d'utilisateur: admin, mot de passe: admin). Pour prévenir les risques, l’agence fédérale américaine conseille notamment de changer le port et les identifiants par défaut.
Les différentes solutions de SonarSource sont utilisées par plus de 200’000 entreprises, selon l’éditeur. Contacté par la rédaction, son CEO Olivier Gaudin concède qu’il n’est pas agréable de voir l’outil associé ainsi à des cyber-risques. Il précise que la prochaine version de SonarQube va empêcher les utilisateurs d'employer un accès anonyme aux codes sources. Jusqu'ici proposée pour la phase d’évaluation du produit, c’est cette option qui pouvait générer les problèmes signalés en juillet dernier, explique le CEO.
Mise à jour du 15/12/20:
La version 8.6 de SonarQube est désormais disponible. Bien qu'il ait été établi qu'il n'y ait pas de vulnérabilité dans le produit en lui-même, la configuration par défaut y a tout de même été ajustée, déclare SonarSource à la rédaction. La configuration par défaut requiert donc désormais une authentification pour accéder à l'interface, et le mot de passe par défaut doit également être modifié dès utilisation.
Lire aussi notre entretien >> Qui est l’éditeur genevois SonarSource qui a levé 45 millions?
