GitHub analyse-t-il vos données ?
- par Kenan
- , le 9 octobre 2023
- 0 h 50 min
GitHub a annoncé une amélioration de sa fonction d’analyse des secrets qui étend les contrôles de validité à des services populaires tels que Amazon Web Services (AWS), Microsoft, Google et Slack.
Les contrôles de validité, introduits par la filiale de Microsoft au début de l’année, alertent les utilisateurs sur le fait que les jetons exposés trouvés par l’analyse secrète sont actifs, ce qui permet de prendre des mesures correctives efficaces. Il a d’abord été activé pour les jetons GitHub.
Le service d’hébergement de code et de contrôle de version basé sur le cloud a déclaré qu’il avait l’intention de prendre en charge davantage de jetons à l’avenir. Pour activer ce paramètre, les propriétaires d’entreprises ou d’organisations et les administrateurs de référentiels peuvent se rendre dans Paramètres > Sécurité et analyse du code > Analyse des secrets et cocher l’option « Vérifier automatiquement si un secret est valide en l’envoyant au partenaire concerné ».
En début d’année, GitHub a également étendu les alertes d’analyse des secrets à tous les dépôts publics et a annoncé la disponibilité de la protection push pour aider les développeurs et les mainteneurs à sécuriser leur code de manière proactive en analysant les secrets hautement identifiables avant qu’ils ne soient poussés.
Cette évolution intervient alors qu’Amazon a présenté en avant-première des exigences renforcées en matière de protection des comptes qui obligeront les utilisateurs privilégiés (alias utilisateurs root) d’un compte AWS Organization à activer l’authentification multifactorielle (MFA) à partir de la mi-2024. « L’authentification multifactorielle est l’un des moyens les plus simples et les plus efficaces de renforcer la sécurité des comptes, en offrant une couche de protection supplémentaire pour empêcher les personnes non autorisées d’accéder aux systèmes ou aux données », a déclaré Steve Schmidt, responsable de la sécurité chez Amazon.
Selon un nouvel avis conjoint de la National Security Agency (NSA) et de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, les méthodes d’AMF faibles ou mal configurées figurent également parmi les dix erreurs de configuration de réseau les plus courantes. Certaines formes de MFA sont vulnérables au phishing, au « push bombing », à l’exploitation des vulnérabilités du protocole SS7 (Signaling System 7) et/ou aux techniques de « SIM swap » (échange de cartes SIM) », ont déclaré les agences. « Ces tentatives, si elles réussissent, peuvent permettre à un acteur de la menace d’accéder aux informations d’authentification de l’AMF ou de contourner l’AMF et d’accéder aux systèmes protégés par l’AMF.
Les autres erreurs de configuration les plus courantes en matière de cybersécurité sont les suivantes –
Pour atténuer ces risques, il est recommandé aux organisations d’éliminer les identifiants par défaut et de durcir les configurations ; de désactiver les services inutilisés et de mettre en place des contrôles d’accès ; de donner la priorité aux correctifs ; d’auditer et de surveiller les comptes administratifs et les privilèges. Les fournisseurs de logiciels ont également été invités à mettre en œuvre des principes de conception sécurisée, à utiliser des langages de programmation sans risque pour la mémoire lorsque cela est possible, à éviter d’intégrer des mots de passe par défaut, à fournir gratuitement aux clients des journaux d’audit de grande qualité et à imposer des méthodes de gestion des actifs financiers (MFA) résistantes à l’hameçonnage. Ces mauvaises configurations illustrent (1) une tendance aux faiblesses systémiques dans de nombreuses grandes organisations, y compris celles qui disposent de cyber postures matures, et (2) l’importance pour les fabricants de logiciels d’adopter des principes de conception sécurisée afin de réduire la charge qui pèse sur les défenseurs des réseaux », ont noté les agences.
Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’informations et de conseils sur la cybersécurité.