Des milliers de sites web exposent leurs clés les plus sensibles, créant un environnement idéal pour les cybercriminels, le principal problème la sécurisation du fichier .env pouvant divulguer des secrets sensibles. Une équipe de recherche de Cybernews a découvert 58 364 sites web uniques à travers le monde vulnérables aux violations de données et même aux prises de contrôle complètes. Pour les visiteurs, c’est une catastrophe sécuritaire.
Le 9 avril, l’équipe de recherche de Cybernews a lancé une enquête sur les fichiers d’environnement (.env) exposés publiquement. Ces fichiers de configuration, qui contiennent des mots de passe, des clés API et d’autres secrets nécessaires pour accéder aux bases de données, serveurs de messagerie, processeurs de paiement et autres services, devraient toujours rester privés et protégés. Pourtant, une analyse des index publics révèle que des milliers de propriétaires de sites laissent leurs clés les plus précieuses sans protection. Ces sites ne sont pas seulement vulnérables à un accès non autorisé et à des violations de données, mais exposent aussi les visiteurs à de nombreux dangers.
Points clés de la recherche
L’analyse menée par Cybernews a révélé un million de secrets exposés provenant de 58 364 fichiers .env de sites web. La majorité des sites affectés sont basés aux États-Unis. Dans la moitié des cas, les secrets exposés permettent un accès direct aux bases de données par des acteurs non autorisés. Les secrets exposés comprennent des clés API de processeurs de paiement, des identifiants de messagerie, des clés d’accès au cloud, des clés d’application, et des secrets OAuth. Des clés GCP, des points de terminaison Firebase, des secrets Azure, des identifiants Google Cloud et d’autres fournisseurs de cloud étaient également présents.
Découvertes principales
L’analyse des index les plus récents des fichiers d’environnement a abouti à un ensemble de données contenant 1 141 004 secrets exposés provenant de 58 364 sites uniques. Le secret le plus couramment exposé était les identifiants de bases de données, présents dans les fichiers .env de plus de 27 000 sites. Seuls 12 % de ces bases de données étaient hébergées à distance, ce qui permet probablement une exploitation facile des identifiants.
Les clés d’application, utilisées pour chiffrer et déchiffrer les cookies et autres informations sensibles, étaient également fréquemment exposées. Les identifiants de messagerie étaient présents sur plus de 10 000 sites. Les informations d’identification Mautic exposées, utilisées pour des campagnes marketing et autres, ont été trouvées sur 3 500 sites. Les clés AWS, présentes sur plus de 1 200 sites, permettent l’accès au stockage cloud AWS, où des documents sensibles peuvent être stockés.
Risques régionaux
La majorité des sites affectés, soit 17 990, étaient hébergés aux États-Unis. Toutefois, des secrets ont été découverts sur des sites de nombreux autres pays. L’équipe de Cybernews a identifié 7 091 sites mal configurés en Allemagne, 3 290 en Inde et 2 916 en France. D’autres pays comptant plus de 1 000 sites concernés incluent Singapour, la Chine, le Royaume-Uni, la Fédération de Russie, le Japon et les Pays-Bas.
Erreurs fréquentes des propriétaires de sites
L’un des principaux problèmes est l’exposition des secrets en clair, une pratique à proscrire absolument. Le nom du fichier .env, commençant par un point, le rend automatiquement caché sur MacOS et Linux, ce qui peut amener les développeurs à télécharger des fichiers sensibles sans s’en rendre compte. D’autres causes incluent des erreurs de contrôle de version, des serveurs web mal configurés, des contrôles d’accès inadéquats, des erreurs de déploiement, et des erreurs humaines ou négligences.
Recommandations pour les professionnels (.env)
Pour éviter ces risques, il est crucial de suivre certaines bonnes pratiques :
- Stockage sécurisé et chiffré : Utilisez des solutions de stockage sécurisé et chiffré pour les fichiers .env et autres secrets.
- Contrôles d’accès appropriés : Implémentez des contrôles d’accès robustes pour restreindre l’accès aux fichiers sensibles.
- Audit régulier : Effectuez des audits de sécurité réguliers pour identifier et corriger les configurations vulnérables.
- Formation continue : Sensibilisez et formez continuellement les développeurs et administrateurs système aux meilleures pratiques de sécurité.
- Utilisation d’IP whitelisting : Pour les bases de données accessibles via Internet, mettez en place des listes blanches d’IP pour limiter l’accès uniquement aux adresses approuvées.
Ces mesures peuvent considérablement réduire le risque de violations de données et protéger les visiteurs des sites web.
Pour les entreprises préoccupées par la sécurité de leurs données et la conformité au RGPD, faire appel à des services de DPO (Délégué à la Protection des Données) externalisés peut offrir une solution efficace et professionnelle. DPO PARTAGE propose une gamme complète de services pour renforcer la protection des données et prévenir les violations comme celles découvertes par Cybernews. Voici quelques services que DPO PARTAGE pourrait offrir :
Services Proposés par DPO PARTAGE
1. Audit de Sécurité des Données
Effectuer des audits complets pour identifier les vulnérabilités dans les systèmes de gestion des données. Cela inclut l’analyse des fichiers de configuration, des pratiques de stockage des clés API, et des accès aux bases de données.
2. Mise en Conformité RGPD
Assister les entreprises dans la mise en conformité avec le RGPD, y compris la rédaction de politiques de protection des données, la gestion des consentements des utilisateurs, et la mise en place de procédures pour répondre aux demandes d’accès et de suppression des données.
3. Formation et Sensibilisation
Organiser des sessions de formation pour les employés afin de les sensibiliser aux bonnes pratiques en matière de protection des données, incluant la gestion des fichiers .env, l’utilisation de l’authentification à deux facteurs, et la sécurisation des informations sensibles.
4. Surveillance Continue et Gestion des Incidents
Offrir des services de surveillance continue pour détecter rapidement toute anomalie ou fuite de données. En cas de violation, DPO PARTAGE gère les incidents, coordonne la réponse et assure la communication avec les autorités compétentes.
5. Implémentation de Mesures de Sécurité Avancées
Aider les entreprises à mettre en place des mesures de sécurité avancées telles que le chiffrement des données, l’authentification multi-facteurs, et la segmentation des réseaux pour limiter les impacts d’une éventuelle intrusion.
6. Conseil en Gouvernance des Données
Fournir des conseils stratégiques sur la gouvernance des données, y compris la gestion des accès et des permissions, la conservation des données, et l’évaluation régulière des politiques de sécurité.
7. Assistance à la Gestion des Fournisseurs
Évaluer et surveiller les pratiques de protection des données des fournisseurs et des partenaires pour assurer qu’ils respectent les mêmes standards de sécurité que l’entreprise.
Pourquoi Choisir DPO PARTAGE ?
- Expertise Spécialisée : Une équipe d’experts en protection des données avec une connaissance approfondie des réglementations et des meilleures pratiques en matière de sécurité.
- Réactivité : Une capacité à répondre rapidement aux incidents de sécurité et à mettre en place des mesures correctives efficaces.
- Adaptabilité : Des services personnalisés adaptés aux besoins spécifiques de chaque entreprise, quelle que soit sa taille ou son secteur d’activité.
- Confiance et Fiabilité : Un partenaire de confiance pour assurer la confidentialité et l’intégrité des données de l’entreprise.
En s’associant avec DPO PARTAGE, les entreprises peuvent non seulement améliorer leur posture de sécurité, mais aussi gagner en tranquillité d’esprit, sachant qu’elles sont conformes aux réglementations et protégées contre les menaces croissantes de cybersécurité.