docker hub
Docker et la conteneurisation se sont petit à petit imposés dans le milieu du développement et de l’administration de systèmes. Mais des chercheurs allemands tirent le signal d’alarme : en analysant des milliers d’images issus de Docker Hub, ils ont découvert que 9 % contenaient des clés privées ou des clés d’API.
Des chercheurs de l’École supérieure polytechnique de Rhénanie-Westphalie ont révélé [PDF], lors de la conférence scientifique Asia Computer and communications Security qui se tenait la semaine dernière, que des milliers de conteneurs d’images hébergés sur Docker Hub stockaient des informations qui auraient dû rester confidentielles.
Les chercheurs ont contacté 1 181 mainteneurs des images Docker concernées pour leur faire part de leur découverte problématique, en retrouvant leurs emails via les variables des Dockerfiles ou leurs comptes Gravatar liés à Docker Hub. Quelques heures après, ils avaient reçu plus de 30 réponses d’utilisateurs expliquant être en cours de correction des images ou les informant que l’image n’était plus utilisée.
Comme nous l’expliquions dans notre dossier sur le sujet il y a plus de deux ans, le déploiement de services via l’utilisation de « conteneurs » est devenu monnaie courante, notamment via l’outil Docker développé il y a une dizaine d’années et son registre Docker Hub qui permet d’héberger n’importe quelle image créée par cet outil.
Notre dossier sur les conteneurs :
Ce système est très pratique pour déployer un service sur une machine sans se préoccuper de ce qui tourne dessus et, finalement, industrialiser un peu plus le déploiement. Mais si le conteneur est mal généré, il peut contenir des informations qui ne devraient pas être divulguées, comme des clés privées SSH, SSL, d’authentification IoT (Internet of things) ou encore des clés API pour se connecter à des services comme Twitter, Facebook ou Slack.
Dans leur conclusion, les chercheurs rappellent qu’ « en matière de sécurité, le partage de clés secrètes ou l’utilisation de clés déjà compromises rompt les promesses, par exemple en matière d’authentification ou de contrôle d’accès. Par conséquent, les secrets cryptographiques ne doivent pas être inclus dans les images de conteneurs accessibles au public ».
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.