En Suisse, au moins 1300 systèmes sont vulnérables à cause de dépôts Git non protégés
En Suisse, des données sensibles sont accessibles librement depuis internet, à cause de dépôts Git mal configurés. Le NCSC a identifié 1300 systèmes concernés par cette vulnérabilité.
Le Centre national de cybersécurité (NCSC) a identifié en Suisse de nombreux dépôts Git rendant 1300 systèmes vulnérables à une cyberattaque. Des données potentiellement sensibles sont concernées et accessibles librement depuis internet, comme par exemple le code source, les données d'accès ou les mots de passe.
Git est un logiciel open source permettant aux développeurs de gérer les codes sources et leurs différentes versions. Si les dépôts Git sont mal configurés et insuffisamment protégés, «n'importe qui peut avoir accès en quelques clics sur Internet aux jeux de données qu'ils contiennent», avertit le NCSC. En cause: une erreur des administrateurs ou des développeurs, mais aussi d'éventuelles lacunes dans le processus de création du projet de développement. Lors du lancement d'un nouveau projet, on se contente souvent de copier un répertoire déjà existant, sans prêter une attention particulière aux ensembles de données qu'il contient et à la manière dont ils sont protégés, explique le Centre national de cybersécurité.
Avec le logiciel Git, la gestion et le suivi des versions se base sur un dossier .git. Ce dossier contient d'une part le code source complet du logiciel, par exemple d'une application ou du site Internet, et d'autre part également toutes les versions et modifications précédentes et éventuellement des fichiers de configuration contenant des informations système sensibles et dignes de protection comme les mots de passe des bases de donnée ou encore les clés API. L'accès au code source donne aussi la possibilité à un cybercriminel potentiel de chercher de manière ciblée les vulnérabilités de l'application ou du système, puis de compromettre l'une des pages Internet qui y sont liées.
1300 systèmes concernés…au minimum
Le NCSC explique que le dossier .git d'un système de production ne devrait jamais être accessible publiquement sur internet. Si la suppression du dossier n'est pas possible à court terme, l'accès au dossier devrait au moins être limité et protégé en conséquence.
Les 1300 systèmes vulnérables repérés ne pourrait être que la partie émergée de l’iceberg… Le NCSC précisant qu’il ne s'agit que d'un aperçu ponctuel et probablement partiel de la situation. 400 contacts, des entreprises ou des responsables de l'exploitation de sites Internet, ont été mis au courant par e-mails.
