TruffleHog, le limier des clés de chiffrement oubliées sur GitHub
Un chercheur a publié un outil, nommé Trufflehog, qui se charge de trouver les clés de chiffrement oubliées par les développeurs sur GitHub.
Dylan Ayrey vient de publier un outil Open Source qui analyse les dépôts Git pour dénicher des clés de chiffrement oubliées par les développeurs. Cette solution est baptisée TruflleHog (cochon truffier) et donne aux administrateurs les moyens de trouver et supprimer des données sensibles, comme les clés de cryptage.
Le chercheur en sécurité précise que TruffleHog localise n’importe quelle clé à entropie élevée. Pour cela, il fouille dans les tréfonds de l’historique du commit et des branches. Concrètement, le module, après avoir parcouru l’intégralité de l’historique de validation du commit, vérifie les diff de chaque commit et évalue l’entropie de Shannon pour l’ensemble des caractères base64 mais aussi pour l’ensemble des caractères hexadécimaux pour chaque bloc de texte supérieur à 20 caractères compris dans ces jeux de caractères dans chaque diff. Quand une chaîne d’entropie élevée est supérieure à 20 caractères, elle est affichée sur l’écran. TruffleHog nécessite l’installation de GitPython pour marcher, précise son concepteur.
Un outil à double tranchant
Amazon Web Services utilise déjà un outil similaire pour trouver dans GitHub des clés AWS qui pourraient avoir été divulguées par accident et les bloquer. En 2014, le fournisseur de Cloud public avait eu la désagréable surprise de voir un chercheur publier 10 000 clés pour les services d’AWS, dont EC2, laissées par des développeurs négligents sur leur référentiel GitHub. En 2016, d’autres spécialistes avaient mis la main sur 1500 tokens de Slack laissés en dur par des développeurs sur GitHub. Des données d’authentification permettant d’accéder au chat, aux fichiers, aux messages privées, et autres données sensibles partagées par les équipes de Slack.
L’outil de Dylan Arrey est donc loin d’être anecdotique. Le revers de la médaille est que les cybercriminels vont aussi s’y intéresser. Il s’agit d’une très bonne solution pour scanner les référentiels sur GitHub et découvrir des vulnérabilités critiques.
A lire aussi :
