Fuite de données CISA : un contractor expose des clés AWS GovCloud sur GitHub
Lysandre Beauchêne
Le 15 mai 2026, Guillaume Valadon, chercheur chez GitGuardian, découvre un dépôt GitHub public nommé « Private-CISA ». Ce repository, maintenu par un contractor de la Cybersecurity & Infrastructure Security Agency (CISA), expose des informations d’identification vers plusieurs comptes AWS GovCloud à privilèges élevés, ainsi que des dizaines de systèmes internes de l’agence fédérale américaine. Philippe Caturegli, fondateur de la société de conseil en sécurité Seralys, qualifie cette fuite de « pire fuite jamais witnessed dans sa carrière ». Un incident qui illustre les failles persistantes dans les pratiques de sécurité des prestataires gouvernementaux.
Les failles discovered : un mélange explosives de credentials exposées
L’enquête menée par les équipes de GitGuardian révèle un tableau alarmant des erreurs de sécurité. Le repository « Private-CISA » contenait des fichiers décrivant comment la CISA construit, teste et déploie ses logiciels en interne. Parmi les éléments les plus critiques, un fichier intitulé « importantAWStokens » включает административные учетные данные pour trois serveurs Amazon AWS GovCloud. Un autre fichier, « AWS-Workspace-Firefox-Passwords.csv », списки en texte clair des dizaines d’identifiants pour des systèmes internes, incluant « LZ-DSO » (Landing Zone DevSecOps), l’environnement de développement sécurisé de l’agence.
Analyse technique des vulnérabilités identifiées
Philippe Caturegli a validé que les identifiants exposés permettaient une authentification à trois comptes AWS GovCloud avec un niveau de privilège élevé. L’archive contenait également des credentials en texte clair vers le « repository » interne de la CISA, sorte de保管 des paquets de code utilisés pour la construction logicielle. « Cela représenterait une cible de choix pour les attaquants cherchant à maintenir une persistance dans les systèmes », explique Caturegli.
La methodology Employed par le contractor illustre une absence totale de hygiene de sécurité. Les logs de commits montrent que l’administrateur CISA a explicitement désactivé la fonctionnalité par défaut de GitHub qui bloque la publication de clés SSH ou d’autres secrets dans les repositories publics. Valadon note : « Des mots de passe stockés en texte clair dans un fichier CSV, des backups dans git, des commandes explicites pour désactiver la détection de secrets sur GitHub. J’ai honnêtement cru que c’était faux avant d’analyser le contenu plus en profondeur. »
La chronologie d’un incident évitable
Les investigations révèlent que le repository « Private-CISA » a été créé le 13 novembre 2025, tandis que le compte GitHub associé remonterait à septembre 2018. Le contractor en question travaille pour Nightwing, une entreprise de sous-traitance gouvernementale basée à Dulles, en Virginie. Nightwing n’a pas souhaité faire de commentaire, redirigeant les demandes vers la CISA.
Suite aux alertes de KrebsOnSecurity et de Seralys, le compte GitHub a été désactivé peu après. Toutefois, les clés AWS exposées sont inexplicablement restées valides pendant encore 48 heures, prolongeant la fenêtre d’exposition critique. Cette latence entre la détection et la révocation effective des credentials illustre les lenteurs bureaucratiques qui peuvent aggraver les conséquences d’une fuite de données.
L’analyse du pattern d’utilisation du repository suggère strongly que le contractor l’utilisait comme un bloc-notes de travail ou un mécanisme de synchronisation entre son ordinateur professionnel et son ordinateur personnel, plutôt que comme un projet repository correctement gère. « L’utilisation simultanée d’une adresse email associée à la CISA et d’une adresse email personnelle suggère que le repository a été utilisé dans des environnements différemment configurés », observe Caturegli.
Les erreurs de sécurité fondamentales
L’examen des credentials exposées révèle plusieurs failles classiques mais危险的. De nombreux mots de passe suivaient un schéma prévisible : le nom de la plateforme concerné suivi de l’année en cours. Une pratique qui constituerait une menace sérieux pour toute organisation, même si ces identifiants n’avaient jamais été exposés externelement. Les acteurs de la menace exploitent régulièrement des credentials exposées sur le réseau interne pour élargir leur accès après une première intrusion.
Les experts soulignent que cette fuite représente un cas d’école des mauvaises pratiques de sécurité dans le contexte de la supply chain logicielle gouvernementale. L’exposition du repository artifactoryisterne est particulièrement préoccupante, car elle pourrait permettre à un attaquant d’implémenter des backdoors dans les paquets logiciels, qui seraient ensuite déployés automatiquement lors des prochains cycles de construction.
« Ce serait un endroit de premier choix pour moverse lateralmente », explique Caturegli. « Backdoor dans certains paquets logiciels, et chaque fois qu’ils construisent quelque chose de nouveau, ils déploient votre backdoor à gauche et à droite. »
Réponse officielle et mesures correctives
Face aux interrogations des médias, un porte-parole de la CISA a confirmé que l’agence avait pris connaissance de l’exposition rapportée et menait une enquête approfondie. « Actuellement, il n’y a aucune indication que des données sensibles aient été compromises à la suite de cet incident », a déclaré le porte-parole. « Bien que nous attendions de nos collaborateurs qu’ils respectent les normes les plus élevées d’intégrité et de sensibilisation opérationnelle, nous travaillons à mettre en place des garanties supplémentaires pour prévenir de futures occurrences. »
Cette réponse officielle, bien que mesurée, ne détaille pas les mesures techniques concrètes envisagées. Les experts indépendants restent prudents quant à la реальность des risques encourus. La durée réelle de l’exposition avant la détection reste inconnue, tout comme le nombre potentiel de personnes ayant eu accès au repository public pendant cette période.
Implications pour la sécurité nationale américaine
Cet incident soulève des questions fondamentales sur les pratiques de sécurité des contractors travaillant pour les agences fédérales américaines. La CISA, créée en 2018, joue un rôle central dans la protection des infrastructures critiques du pays. Un contractor manipulant des informations aussi sensibles avec une telles facilités expose non seulement sa propre organisation, mais compromet potentiellement la chaîne d’approvisionnement logicielle de l’agence.
La nature des systems exposés - notamment l’environnement Landing Zone DevSecOps - suggère que les credentials compromises auraient pu permettre un accès privilégié à l’infrastructure de construction et de déploiement de logiciels de la CISA. Dans un contexte où les attaques par supply chain sont devenues le vecteur d’intrusion privilégié des groupes APT, cette fuite prend une dimension stratégique.
Les experts recommandent que les agencies fédérales implémentent des contrôles automatisés pour détecter l’exposition de secrets sur les repositories publics, tant pour leurs employés que pour leurs contractors. La détection par des sociétés tierces comme GitGuardian, bien que beneficial, ne doit pas être le seul filet de sécurité.
Recommandations pour les organisations confrontées à ce risque
Face à ce type de incident, les organisations doivent considérer plusieurs axes de remediation immediate. La rotation immédiate des credentials exposées constitue la première mesure à prendre, même si cette action simple est souvent négligée dans la chaleur de la réponse à incident. Les clés API, tokens et mots de passe qui ont été publicados en ligne doivent être considérés comme compromise et remplacés sans délai.
La mise en place de controles preventifs s’avère equally cruciale. Les plateformes comme GitHub proposent des fonctionnalités de detection de secrets activées par défaut, mais elles peuvent être désactivées - comme l’a fait le contractor en question. Les organisations doivent implémenter des politiques interdisant explicitement cette désactivation et vérifier regulièrement leur application. L’utilisation de scanners automatisés dans les pipelines CI/CD permet de bloquer la publication accidentelle de secrets avant qu’ils n’atteignent les repositories publics.
| Contrôle de sécurité | Priorité | Complexité d’implémentation |
|---|---|---|
| Rotation automatique des credentials | Critique | Moyenne |
| Scanners de secrets dans les pipelines CI/CD | Critique | Faible |
| Formation des développeurs à la sécurité | Haute | Faible |
| Audit régulier des repositories | Haute | Moyenne |
| Monitoring des fuites de credentials | Critique | Élevée |
Leçons tirées et perspective sectorielle
Cette fuite de données CISA s’inscrit dans une trend préoccupante. Selon le rapport State of Secret Sprawl 2025 de GitGuardian, plus de 3 millions de secrets ont été découverts dans des repositories publics en 2025, dont une proportion croissante impliquant des environnements cloud critiques. Le secteur government et defense est particulièrement affecté par ce phénomène, avec une augmentation de 47% des expositions impliquant des agencies fédérales par rapport à l’année précédente.
Les consequences potentielles d’une telle exposition dépassent largement le cadre de la fuite de données classique. L’accès à un repository artifactory Compromised pourrait permettre à un acteur malveillant de compromised l’intégrité des logiciels développés par la CISA, créant un vecteur d’attaque contre toutes les organisations utilisant ces outils. Cette perspective souligne l’importance de sécuriser l’ensemble de la supply chain logicielle, du développement au déploiement.
L’incident révèle également les risques associés à l’utilisation de repositories publics comme mécanismes de synchronisation personnelle. Cette pratique, relativement commune chez les développeurs, devient critically dangereuse lorsqu’elle implique des informations d’identification sensibles. Les organisations doivent sensibiliser leurs équipes aux frontières entre usage personnel et professionnel des outils de développement.
Conclusion et prochaines étapes
La fuite de données CISA sur GitHub illustre avec une clarté glaçante les risques inhérents à la désinvolture dans la gestion des credentials cloud. Pour les organisations gouvernementales et leurs contractors, cet incident doit servir de signal d’alarme quant aux pratiques de sécurité de leurs prestataires. Les recommendations formulées par les experts - rotation immediate des credentials, contrôles automatisés, formation des équipes - constituent un minimum non négociable.
Dans un environnement où les menaces ciblant la supply chain logicielle se multiplient, la protection des secrets de développement représente un enjeu stratégique. Les agencies doivent impérativement renforcer leurs contrôles sur les accès des contractors, implémenter des solutions de detection des fuites en temps réel, et établir des procedures de réponse rapide en cas d’exposition. La sécurité de l’infrastructure numérique gouvernementale dépend de la rigor avec laquelle ces fundamentals sont appliqués.
Pour toute organisation utilisant des environnements cloudAWS GovCloud ou equivalents, l’audit immediate des pratiques de gestion des secrets s’impose comme une priorité absolue. Les credentials compromises doivent être immédiatement remplacées, et les mécanismes de détection des exposures doivent être renforcés avant que le prochain incident ne frappe.