Le mois dernier, il a été découvert qu'une instance de GitLab pour Vandev Lab, qui appartient à Samsung, n'avait pas sécurisé ses projets avec un mot de passe. En tant que tels, des dizaines de projets de codage interne pour divers applications, services et projets Samsung ont été rendus publics, ce qui a permis d’accroître l’accès aux projets Samsung, notamment son écosystème populaire de maison intelligente SmartThings.
Sans sécuriser correctement les projets avec un mot de passe, cela permettait à quiconque de visualiser le code source, de le télécharger ou même d'y apporter des modifications.
Mossab Hussein, chercheur en sécurité chez SpiderSilk, a découvert la défaillance de la sécurité le 10 avril et l'a signalé à Samsung. Dans ses conclusions, il avait accès à l'intégralité du compte AWS, y compris à plus d'une centaine de compartiments de stockage S3 contenant des journaux et des données analytiques.
Les journaux et les analyses couvraient des produits Samsung tels que les services SmartThings et Bixby, ainsi que les jetons GitLab privés de plusieurs employés en texte brut. En utilisant ces jetons, Hussein a pu accéder à entre 45 et 135 projets publics et privés.
Lorsqu'il a contacté Samsung, Hussein a appris que certains fichiers étaient à tester, mais il a rapidement signalé que le code source de la version actuelle de l'application Android SmartThings était présent. L'application a été mise à jour depuis leur conversation, cependant.
La partie la plus dangereuse de cet accès est que, avec les jetons GitLab, Hussein aurait pu modifier le code de Samsung. Il a déclaré:
La véritable menace réside dans la possibilité qu'une personne acquiert ce niveau d'accès au code source de l'application et l'injecte d'un code malveillant à l'insu de l'entreprise.
Les informations d'identification AWS ont été révoquées quelques jours après que Hussein ait contacté Samsung, mais il n'a pas été vérifié si les clés secrètes et les certificats avaient reçu le même traitement. À l'heure actuelle, Samsung n'a toujours pas clôturé le rapport de vulnérabilité près d'un mois après sa première publication. Cependant, lorsqu'on lui a demandé de commenter, Zach Dugan, un porte-parole de Samsung a répondu:
Nous avons rapidement révoqué toutes les clés et tous les certificats de la plate-forme de test déclarée et, bien que nous n’ayons pas encore trouvé la preuve d’un accès externe quelconque, nous étudions actuellement la question.
Selon Hussein, il a fallu attendre le 30 avril pour que les clés privées de GitLab soient révoquées, et il aurait déclaré: "Je n'ai jamais vu une entreprise aussi importante gérer son infrastructure en utilisant des pratiques aussi bizarres." Samsung a refusé lorsque TechCrunch a posé des questions spécifiques sur l'incident ou sur la preuve qu'il s'agissait uniquement d'environnements de test.
Ceci est juste un autre exemple de la façon dont les pratiques de sécurité appropriées deviennent de plus en plus importantes à l'heure actuelle, à mesure que la technologie s'infiltre dans tous les aspects de nos vies.
Google Nest Hub Max: un tout-en-un idéal pour votre maison intelligente
Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.
