CISA a exposé des mots de passe et des clés cloud dans un dépôt GitHub public.
CISA enquête sur une fuite de credentials qui a laissé des mots de passe, access tokens et clés cloud liés à des systèmes de l'agence accessibles publiquement dans un repository GitHub. L'incident, d'abord détaillé par le journaliste indépendant en sécurité Brian Krebs puis rapporté par TechCrunch, semble provenir d'un repository maintenu par un employé travaillant pour un contractant de CISA.
Selon les informations, le chercheur de GitGuardian Guillaume Valadon a trouvé des feuilles de calcul contenant des credentials en clair qui pouvaient être utilisés pour accéder à des systèmes liés à CISA et au Department of Homeland Security. Valadon a indiqué avoir vérifié qu'au moins certains des credentials étaient valides avant de remonter le problème. Ce détail compte : il ne s'agissait pas simplement de données d'archives négligées ou de matériel de test obsolète dans un repo oublié. C'était des accès actifs exposés sur le web ouvert.
La question immédiate est de savoir si quelqu'un d'autre que le chercheur a trouvé et utilisé les credentials avant qu'ils ne soient signalés. Au moment de la publication, CISA n'avait pas publiquement indiqué s'il existait des preuves d'une intrusion ultérieure liée à cette exposition. Même sans cela, l'incident est grave en soi. CISA est l'agence fédérale chargée d'améliorer la cyberdéfense des réseaux civils du gouvernement, et elle conseille régulièrement aux autres organisations d'éviter exactement ce genre de pratique.
Le problème plus large est la gouvernance, pas seulement un mauvais repository. Les systèmes gouvernementaux modernes dépendent fortement des contractants, des environnements cloud partagés et des chaînes d'accès tentaculaires qui rendent la gestion des secrets plus difficile à contrôler. Quand les credentials sont traités dans des feuilles de calcul plutôt que dans un workflow de secrets management approprié, l'échec est rarement isolé à une seule personne. Cela indique généralement des contrôles de révision faibles, une mauvaise discipline opérationnelle, ou les deux.
Cela arrive également à un moment délicat pour l'agence. CISA fonctionne sans directeur permanent depuis début 2025, et des réductions d'effectifs récentes ont suscité des inquiétudes sur la capacité de supervision restante au sein de l'organisation. Cela ne prouve pas que l'exposition a été causée par un manque de personnel, mais cela renforce les enjeux politiques et opérationnels. Une agence responsable de donner le ton en matière de cybersécurité fédérale ne peut pas se permettre des erreurs publiques qui semblent aussi évitables.
Pour les équipes de sécurité en dehors du gouvernement, la leçon est familière mais encore régulièrement ignorée : les secrets ne devraient jamais vivre dans des documents en clair qui peuvent dériver dans des systèmes de contrôle de version, des drives partagés ou des exports non gérés. Rotation, accès au moindre privilège, scanning de repository et contrôles spécifiques aux contractants sont toutes des défenses de base, mais elles ne fonctionnent que lorsqu'elles sont appliquées de manière cohérente.
IRCNF a tiré son évaluation des rapports de TechCrunch sur l'incident et du compte rendu original de Krebs. Jusqu'à ce que CISA divulgue si les clés exposées ont été utilisées abusivement, l'histoire est mieux comprise comme une exposition grave avec des implications potentiellement plus larges plutôt qu'une brèche destructive confirmée.
Originally reported by TechCrunch. Read the original article for additional details.
View original source