Une récente attaque, menée via des modules JavaScript largement diffusés, a conduit à l'exfiltration de «secrets» depuis des dépôts GitHub publics. En réponse, le collectif CyberSec Morocco s'est mobilisé pour proposer un dispositif de vérification destiné à aider les développeurs à évaluer leur exposition. Les 17 et 18 septembre 2024, l'explosion coordonnée de bipeurs et talkies-walkies associés au Hezbollah au Liban, largement attribuée par de nombreux récits et enquêtes au Mossad – le service de renseignement israélien-, a suscité de fortes réactions notamment dans des milieux diplomatiques et sécuritaires. De par son ampleur et son caractère spectaculaire, l'épisode a surtout mis en lumière une innovation dans le modus operandi des offensives menées par les services de renseignement, à savoir une opération préparée en amont de la chaîne d'approvisionnement des terminaux de communication, à un stade où l'attaque serait, a priori, difficile à déceler. En cybersécurité, un récent incident, baptisé Shai-Hulud 2, relève d'une logique similaire. «Fin novembre, une intrusion dans l'écosystème npm, la principale plateforme où des développeurs publient et partagent des modules JavaScript, a ouvert une brèche à grande échelle», révèle Ismayl Msed, architecte cloud security. L'attaque, sans viser une entreprise en particulier, s'est appuyée sur des comptes d'éditeurs de paquets compromis et sur des versions piégées de modules, réputés pourtant légitimes. Avec, à la clé, l'exfiltration de "secrets", envoyés vers des dépôts GitHub publics. Vulnérabilités chroniques Pour les assaillants, l'objectif est de mettre la main sur des accès encore valides – clés cloud, jetons GitHub, etc. -, puis de les réutiliser pour atteindre des environnements plus sensibles. «Il faut dire que ces vulnérabilités existent au quotidien», observe Badr Bellaj, expert en cybersécurité. Cet épisode s'inscrit dans la famille des attaques de chaînes d'approvisionnement (supply chain attack, en anglais) où un composant réputé fiable devient le point d'entrée. «Imaginez une application qui jouit d'une excellente réputation. L'utilisateur l'installe parce qu'elle est réputé fiable, alors qu'elle contient une fonction cachée qui peut s'exécuter à tout moment à son insu», explique Ismayl Msed. En l'occurrence, la principale faille a été identifiée au niveau d'un gestionnaire de paquets adossé à GitHub, téléchargé à très grande échelle par les développeurs (des millions de fois par jour), compromis puis enrichi d'une fonction malveillante. En pratique, un malware peut, dès son installation, s'implanter, puis chercher à collecter des secrets sur la machine, mots de passe, jetons et autres accès. «La finalité pour le hacker est d'accéder à ce qui est communément admis comme la Crown Jewels Data», résume Ismayl Msed. Culture de la vigilance Suite à cet incident, GitHub a supprimé plusieurs dépôts, notamment ceux qui servaient de relais ou de vitrine à l'exfiltration de données. À en croire les spécialistes, cette mesure limite les expositions, mais sans régler la question des secrets déjà compromis. Pour sa part, CyberSec Morocco a tenté d'apporter une réponse opérationnelle. Le collectif de développeurs marocains a mis en ligne un outil de vérification sur cybersec.ma. À partir d'un identifiant GitHub, il indique si un développeur figure parmi les profils exposés, sur la base d'un renseignement constitué par analyses OSINT (Open-Source Intelligence) et par l'exploitation des artefacts liés à l'incident. Dans sa communication, le groupe affirme avoir pu remonter des identifiants GitHub. Il indique également avoir réussi à attacher plus de 30.000 dépôts et identifier un «patient zéro» (le premier compte ou dépôt à l'origine de la chaîne de compromission). Au Maroc, ces modes opératoires trouvent un écho particulier depuis le piratage des données de la CNSS, qui a remis la sécurité des données au premier plan. Le dernier incident de chaîne logicielle, comme la fuite de données à grande échelle, rappelle que la sécurité se joue dans la durée. Les bons réflexes comptent, mais gagnent à s'ancrer dans une culture de la vigilance, entretenue par une sensibilisation continue. CyberSec Morocco, un collectif à l'affût des brèches réseau Né au lendemain de la fuite de données ayant touché la Caisse nationale de sécurité sociale (CNSS), CyberSec Morocco se présente comme un collectif à but non lucratif de développeurs marocains. «C'est un concept borderless et open source», souligne Abdessamad El Amrani, expert en sécurité des systèmes complexes et cofondateur du collectif. Le dispositif s'appuie sur une équipe d'une trentaine d'experts, couvrant différents pans de la discipline. Ils sont répartis à travers le globe. Autour de ce noyau dur, la communauté revendique près de 2.000 participants issus des métiers de la cybersécurité. Le collectif dit assurer un suivi régulier des brèches et des problématiques émergentes, en articulant veille technique, sensibilisation et mise à disposition d'outils open source. Ayoub Ibnoulfassih / Les Inspirations ECO
