L’agence fédérale américaine de la cybersécurité et de la sécurité des infrastructures (CISA) a laissé ses clés numériques pour ses propres comptes de stockage cloud exposées, à découvert et en clair, pendant une durée inconnue, selon un rapport de Krebs on Security. Le problème a finalement été corrigé ce week-end, indique le rapport.
Sûrement les informations secrètes étaient enfouies dans un dossier obscur au nom illisible, vous dites peut-être. Le dépôt aurait été nommé « Private-CISA ».
Mais il n’y a aucun moyen que le contenu soit si sensible, vous objectez. Pourtant le contenu comprenait des mots de passe, des clés et des jetons — et les mots de passe étaient en clair dans un fichier .CSV.
La CISA a livré une déclaration à Krebs, disant ce qui suit :
« Actuellement, il n’y a aucune indication selon laquelle des données sensibles auraient été compromises à la suite de cet incident[…]. Bien que nous tenions nos collaborateurs aux plus hauts standards d’intégrité et de vigilance opérationnelle, nous travaillons à mettre en œuvre des protections supplémentaires pour prévenir toute récurrence. »
Étant donné que le dépôt a été créé en novembre de l’année dernière, la durée de la vulnérabilité semble avoir été d’environ six mois — mais elle aurait pu être bien plus courte selon ce qui avait été ajouté et quand.
Pour vous rafraîchir la mémoire, la CISA est une branche relativement récente du Department of Homeland Security qui a traversé une période globalement difficile sous l’ère Trump 2.0, même si, en la faisant entrer en vigueur par la loi en 2018, Trump a en réalité donné naissance à la CISA durant l’Administration 1.0, et désolé pour la digression, mais le discours de Trump à l’occasion était un exemple exceptionnel de poésie trumpienne, incluant des extraits comme celui-ci :
« Le champ de bataille cybernétique évolue — et il évolue, et malheureusement, plus rapidement que beaucoup de gens veulent en parler. Mais c’est bien un champ de bataille. Donc, à mesure que le champ de bataille cybernétique évolue, cette nouvelle agence veillera à ce que nous affrontions l’ensemble des menaces émanant des États-nations, des cybercriminels et d’autres acteurs malveillants, et ils sont nombreux. »
Indiscutablement vrai, Monsieur le Président. C’est bien le champ de bataille.
Quoi qu’il en soit, Trump était furieux des informations fournies par la direction de la CISA pendant la période allant de l’élection de 2020 jusqu’au 6 janvier 2021, lorsqu’il cherchait à faire annuler les résultats de l’élection en sa faveur. Il a limogé le directeur de la CISA qu’il avait nommé, et depuis son retour au pouvoir, sa CISA est devenue une farce chaotique. Aucun des directeurs intérimaires qu’il a nommés jusqu’ici n’a été confirmé par le Sénat, et Trump a récemment cherché à réduire drastiquement le financement de la CISA.
Pour ajouter aux inquiétudes de la CISA, il semble, selon une interprétation tirée du rapport de Krebs sur le contenu du dépôt, qu’un employé travaillant pour un contractant gouvernemental nommé Nightwing utilisait Github pour déplacer du matériel d’un appareil de travail vers un appareil personnel — en quelque sorte comme s’envoyer des documents par courriel à soi-même, mais d’une sécurité encore moins fiable que cela.
Je ne suis pas expert en cybersécurité fédérale, mais ce que révèle Krebs ressemble à des informations que nous, citoyens, ne voulons pas que notre gouvernement divulgue :
« L’un des fichiers exposés, intitulé « importantAWStokens », contenait les identifiants administratifs de trois serveurs Amazon AWS GovCloud. Un autre fichier exposé dans leur dépôt GitHub public — « AWS-Workspace-Firefox-Passwords.csv » — répertoriait des noms d’utilisateur et des mots de passe en clair pour des dizaines de systèmes internes de la CISA. Selon Caturegli, ces systèmes comprenaient l’un nommé « LZ-DSO », qui semble être l’abréviation de « Landing Zone DevSecOps », l’environnement sécurisé de développement de code de l’agence. »
La source de Krebs sur l’information laissée en libre accès était Guillaume Valadon, de GitGuardian, une société qui scanne GitHub à la recherche de secrets, ce qui signifie que son métier consiste à repérer des situations comme celle-ci. Valadon a déclaré à Krebs que c’était « la pire fuite qu’il ait vue au cours de sa carrière ».
