Navigation
Les derniers articles
Suivez en direct

Sécurité GitHub : La boulette d’un sous-traitant de la CISA

Logo blanc de GitHub sur fond orange avec des lignes de code floues en arrière-plan, illustrant la boulette d'un sous-traitant de la CISA ayant compromis la sécurité GitHub de l'agence.
La boulette d’un sous-traitant de la CISA a exposé des clés critiques et rappelle l’importance de durcir la sécurité des dépôts GitHub contre les fuites.

TL;DR : L’essentiel

  • Un prestataire technique de la CISA a laissé un dépôt GitHub public pendant six mois, exposant environ 844 Mo de fichiers de production et des données d’authentification gouvernementales hautement stratégiques.
  • La fuite intégrait des clés de connexion AWS GovCloud à haut privilège, des secrets Kubernetes et des mots de passe en clair, compromettant gravement la sécurité des dépôts GitHub de l’agence.
  • La découverte de cette faille par des chercheurs en sécurité de la société GitGuardian a permis une mise hors ligne rapide du dépôt, évitant ainsi une exploitation malveillante à grande échelle.
  • L’analyse des validations de code montre que le sous-traitant avait délibérément désactivé les dispositifs de détection des secrets de GitHub, contournant ainsi les barrières de protection indispensables.

La compromission accidentelle sur le Web d’un dépôt GitHub contenant des données hautement sensibles, telles que des secrets d’authentification, rappelle l’importance de procédures de contrôle permanent pour se prémunir contre de telles fuites de données. Encore une fois, je constate que les sous-traitants peuvent commettre des négligences involontaires, ce qui souligne la nécessité absolue de les encadrer rigoureusement par des exigences claires et une supervision stricte en cas d’externalisation d’activités sensibles.

Sécurité des dépôts GitHub : Un sous-traitant de la CISA fautif

La sécurité des dépôts GitHub de la CISA s’est effondrée lorsqu’un développeur mettant en œuvre des tâches pour une entreprise prestataire a configuré un dépôt de manière publique sous le nom explicite de « Private-CISA ». Cet espace, accessible à n’importe quel internaute de novembre 2025 à mai 2026, regroupait près de 1 GB de sauvegardes d’infrastructure et de configurations logicielles de production. Comme le rapporte le média spécialisé Ars Technica, l’exposition comprenait des informations permettant d’accéder directement aux réseaux internes de l’agence ainsi qu’à sa structure mère, le ministère de la Sécurité intérieure des États-Unis.

Parmi les éléments les plus critiques, des jetons de sécurité permettaient de prendre le contrôle de comptes AWS GovCloud, des environnements cloud d’Amazon Web Services réservés aux données gouvernementales sensibles. Des validations techniques ultérieures menées par le fondateur du cabinet de conseil Seralys ont prouvé que ces clés d’accès étaient parfaitement fonctionnelles et offraient des privilèges d’administration très élevés. Cette bévue offrait ainsi une clé d’entrée directe dans les systèmes les plus confidentiels de l’administration fédérale, sans qu’aucune intrusion informatique active n’ait été nécessaire pour les dérober.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Une accumulation de négligences techniques sur un dépôt GitHub exposé

Garantir la sécurité des dépôts GitHub exige le respect rigoureux de règles techniques simples, pourtant ignorées par le sous-traitant lors de cet incident. L’analyse de l’arborescence, détaillée par Krebs on Security, montre des répertoires entiers nommés Backup-April-2026/ ou ENTRA ID - SAML Certificates/. Les fichiers qu’ils contenaient portaient des noms évidents comme AWS-Workspace-Firefox-Passwords.csv ou external-secret-repo-creds.yaml, facilitant grandement la tâche de n’importe quel observateur cherchant à identifier des cibles de choix.

Pour aggraver la situation, les journaux d’activité montrent que le sous-traitant avait volontairement désactivé les protections automatiques de GitHub conçues pour bloquer la publication accidentelle de mots de passe ou de clés cryptographiques. Le développeur utilisait de surcroît à la fois une adresse de messagerie professionnelle attribuée par le contractant de la CISA et son adresse Yahoo personnelle pour valider ses modifications sur un compte GitHub privé utilisé à des fins publiques. Ce mélange d’identités numériques illustre le manque de rigueur qui a permis à cette compromission de passer inaperçue pendant près de six mois.

💡

Retour d’Expérience

Cette compromission de clés d’accès cloud au sein d’un dépôt GitHub public démontre une nouvelle fois que la sécurité ne peut plus reposer sur une simple confiance aveugle envers les tiers. Nous devons impérativement imposer des contrôles en matière d’externalisation et surtout de sécurité automatisés et systématiques sur l’ensemble de la chaîne d’approvisionnement logicielle pour éviter que la négligence d’un seul opérateur ne paralyse nos infrastructures étatiques les plus critiques.

La vigilance des chercheurs face aux failles de la chaîne logistique

La détection de cette faille majeure met en lumière le rôle indispensable des analystes en cybersécurité qui surveillent les plateformes de développement pour repérer les expositions involontaires. D’après les révélations obtenues par le journal The Register, c’est un chercheur de la société GitGuardian qui a intercepté la fuite grâce à des outils de scan automatisés. Face au silence du prestataire de l’agence après plusieurs alertes directes, l’analyste a dû faire remonter l’information à un journaliste d’investigation afin de forcer une réaction rapide des autorités.

Le traitement de l’incident s’est accéléré dès la médiatisation de la faille, conduisant à la suppression du dépôt public en moins de vingt-quatre heures. Néanmoins, l’incident met à mal la crédibilité de l’agence fédérale, confrontée en parallèle à des vagues importantes de réductions budgétaires et à une réduction d’effectifs d’un tiers depuis le début de l’année 2025. Comme l’indique TechCrunch, la structure évolue également sans direction permanente, ce qui complique la surveillance rigoureuse des sous-traitants techniques qui manipulent pourtant des accès critiques aux infrastructures cloud gouvernementales.

En résumé, la sécurité des dépôts GitHub de la CISA a été compromise par la simple erreur d’un prestataire externe, exposant des données critiques de production. Cet événement rappelle avec force que l’intégrité opérationnelle d’une organisation ne dépend pas seulement de ses outils technologiques, mais de la rigueur de chaque acteur de sa chaîne d’approvisionnement numérique.

Questions fréquentes sur l’exposition de données de la CISA

Qu’est-ce que l’incident lié au dépôt Private-CISA ?

Il s’agit de la mise en ligne involontaire d’un dépôt GitHub public par un technicien employé par un sous-traitant de la CISA. Ce répertoire de code a exposé plus de 844 Mo de secrets d’authentification et de sauvegardes réseau pendant près de six mois.

Quelles données sensibles ont été compromises lors de cette fuite ?

La fuite comprenait des clés d’accès cloud pour les serveurs hautement sécurisés d’AWS GovCloud, des jetons pour JFrog Artifactory, des secrets Kubernetes et des fichiers tableurs contenant des mots de passe d’administration enregistrés en clair.

Comment la sécurité des dépôts GitHub de la CISA a-t-elle été contournée ?

Le développeur du sous-traitant a volontairement désactivé les filtres automatiques de détection de secrets de GitHub. Cette configuration défectueuse a permis l’enregistrement de mots de passe et de clés privées dans le code sans qu’aucune alerte de blocage ne soit déclenchée.

Quel rôle ont joué les chercheurs en cybersécurité dans la résolution de l’incident ?

Un spécialiste de GitGuardian a découvert l’exposition lors d’analyses de routine des codes publics sur GitHub. Il a ensuite piloté l’alerte auprès des autorités américaines, permettant de supprimer définitivement le dépôt vulnérable de la plateforme en moins d’une journée.

Pour approfondir le sujet

La CISA rappelle l'urgence de bien sécuriser ses serveurs Microsoft Exchange

La CISA rappelle l'urgence de bien sécuriser ses serveurs Microsoft Exchange

dcod.ch

Un rappel d'urgence pour la sécurité des serveurs Microsoft Exchange : CISA, NSA et partenaires internationaux publient un guide stratégique face à une menace toujours active Lire la suite

Avenir du CVE : la CISA envisage de nouvelles sources de financement

Avenir du CVE : la CISA envisage de nouvelles sources de financement

dcod.ch

Le programme Common Vulnerabilities and Exposures (CVE) occupe une place centrale dans l’écosystème de la cybersécurité. Il fournit un langage commun Lire la suite

Plan stratégique international 2025-2026 de la CISA : Pour une cybersécurité mondiale renforcée

Plan stratégique international 2025-2026 de la CISA : Pour une cybersécurité mondiale renforcée

dcod.ch

Le premier plan stratégique 2025-2026 de la CISA souhaite renforcer la cybersécurité internationale par des alliances, le partage d’informations, la protection des infrastructures critiques et l’innovation. Lire la suite

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.