Les chercheurs ont identifié près de 10 000 sites Web sur lesquels des clés API pouvaient être trouvées, révélant ainsi des détails susceptibles de permettre aux attaquants d'accéder à des informations sensibles.
Des fuites de clés auraient pu permettre à des attaquants de prendre le contrôle de l'infrastructure numérique d'une entreprise
Des informations de sécurité critiques sont exposées par inadvertance sur des milliers de sites Web, y compris ceux gérés par certaines banques et prestataires de soins de santé.
Les détails divulgués auraient pu permettre aux espions d'accéder à des données sensibles telles que les clés privées RSA, qui permettent aux attaquants d'usurper l'identité des serveurs, de décrypter les communications privées ou d'obtenir le contrôle administratif total de l'infrastructure numérique d'une entreprise. « Il s'agit d'un problème très important, qui ne concerne pas seulement les petites entreprises, mais aussi certaines très grandes entreprises », déclare Nurullah Demir de l'Université de Stanford en Californie.
Demir et ses collègues ont analysé 10 millions de pages Web pour découvrir le nombre de fuites d'informations d'identification d'interface de programmation d'application (API). Les clés API permettent à différents systèmes logiciels de communiquer de manière transparente, agissant comme des jetons d'accès pour les plateformes cloud, les processeurs de paiement et les services de messagerie.
En analysant le Web, les chercheurs ont identifié 1 748 informations d'identification actives et vérifiées provenant de 14 principaux fournisseurs de services, dont Amazon Web Services, Stripe, GitHub et OpenAI, réparties sur près de 10 000 sites Web.
La vulnérabilité n'est pas la faute de ces entreprises, mais celle des développeurs de logiciels et des opérateurs de sites Web qui ont utilisé leurs services pour créer et gérer des sites Web. Bien que les chercheurs n'aient pas nommé directement les entreprises concernées, ils ont révélé qu'elles comprenaient une « institution financière mondiale d'importance systémique », un « développeur de micrologiciels » et une « plateforme d'hébergement majeure ».
«Nous avons informé toutes les entreprises pour lesquelles nous avons identifié une exposition», explique Demir. En deux semaines, environ 50 % des organisations ont supprimé les clés API exposées, mais certaines d'entre elles n'ont pas répondu, dit-il.
Les informations d’identification exposées sont restées accessibles au public pendant 12 mois en moyenne, certaines en ligne pendant cinq ans. La majorité de ces informations d'identification exposées – environ 84 % de celles trouvées – ont été découvertes dans des environnements JavaScript, ce qui, selon les chercheurs, pourrait être une conséquence du fait que les développeurs de logiciels utilisent des outils de regroupement pour empaqueter leur code de manière à pouvoir l'utiliser en ligne.
16 % des informations d'identification exposées provenaient de ressources tierces, ce qui signifie qu'un plug-in ou un script externe mal configuré pourrait diffuser les clés sensibles d'une organisation sur Internet.
« Aucun de ces développeurs n'avait l'intention de ne pas être sûr ; beaucoup d'entre eux n'ont même pas commis d'erreur en premier lieu », explique Katie Paxton-Fear de la Manchester Metropolitan University, au Royaume-Uni. Les clés API ont plutôt été rendues publiques en raison de bizarreries de programmation associées au fonctionnement et à l'exécution du langage sur le serveur. « Ils ont tout fait correctement et tout est entré dans la machine qui est leur pipeline de développement et cela a été révélé », dit-elle.
Les fuites de clés API et d'informations d'identification constituent « un véritable problème dans le développement de logiciels modernes », déclare Nick Nikiforakis de l'Université Stony Brook de New York. « Les clés API remplacent les informations d'identification et permettent à quiconque les possède d'agir en tant qu'utilisateur autorisé sur un service donné. » Le problème est que ces informations peuvent parfois être mal configurées et finir par être partagées publiquement par inadvertance – avec des conséquences catastrophiques. « Révéler accidentellement une clé API au public permet aux attaquants qui la trouvent d'en abuser », explique Nikiforakis.
S'attaquer au problème est une responsabilité partagée, affirme Demir. « Les développeurs doivent bien sûr (faire) attention lorsqu'ils utilisent ces informations d'identification API », dit-il, en s'assurant qu'ils configurent les environnements de développement de la bonne manière. Les créateurs d'outils de création de sites Web doivent concevoir leurs logiciels de manière à ce que les clés secrètes soient automatiquement masquées par défaut, plutôt que de compter sur les développeurs pour les sécuriser manuellement, ajoute-t-il, et les sociétés hébergeant ces sites Web devraient rechercher activement les clés divulguées et les désactiver immédiatement.
