docker hub
Docker et la conteneurisation se sont petit à petit imposés dans le milieu du développement et de l’administration de systèmes. Mais des chercheurs allemands tirent le signal d’alarme : en analysant des milliers d’images issus de Docker Hub, ils ont découvert que 9 % contenaient des clés privées ou des clés d’API.
Des chercheurs de l’École supérieure polytechnique de Rhénanie-Westphalie ont révélé [PDF], lors de la conférence scientifique Asia Computer and communications Security qui se tenait la semaine dernière, que des milliers de conteneurs d’images hébergés sur Docker Hub stockaient des informations qui auraient dû rester confidentielles.
Les chercheurs ont contacté 1 181 mainteneurs des images Docker concernées pour leur faire part de leur découverte problématique, en retrouvant leurs emails via les variables des Dockerfiles ou leurs comptes Gravatar liés à Docker Hub. Quelques heures après, ils avaient reçu plus de 30 réponses d’utilisateurs expliquant être en cours de correction des images ou les informant que l’image n’était plus utilisée.
Comme nous l’expliquions dans notre dossier sur le sujet il y a plus de deux ans, le déploiement de services via l’utilisation de « conteneurs » est devenu monnaie courante, notamment via l’outil Docker développé il y a une dizaine d’années et son registre Docker Hub qui permet d’héberger n’importe quelle image créée par cet outil.
Notre dossier sur les conteneurs :
Ce système est très pratique pour déployer un service sur une machine sans se préoccuper de ce qui tourne dessus et, finalement, industrialiser un peu plus le déploiement. Mais si le conteneur est mal généré, il peut contenir des informations qui ne devraient pas être divulguées, comme des clés privées SSH, SSL, d’authentification IoT (Internet of things) ou encore des clés API pour se connecter à des services comme Twitter, Facebook ou Slack.
Dans leur conclusion, les chercheurs rappellent qu’ « en matière de sécurité, le partage de clés secrètes ou l’utilisation de clés déjà compromises rompt les promesses, par exemple en matière d’authentification ou de contrôle d’accès. Par conséquent, les secrets cryptographiques ne doivent pas être inclus dans les images de conteneurs accessibles au public ».
Le règlement DORA : un tournant majeur pour la cybersécurité des institutions financières Le 17…
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport sur les…
Directive NIS 2 : Comprendre les nouvelles obligations en cybersécurité pour les entreprises européennes La…
Alors que la directive européenne NIS 2 s’apprête à transformer en profondeur la gouvernance de…
L'intelligence artificielle (IA) révolutionne le paysage de la cybersécurité, mais pas toujours dans le bon…
Des chercheurs en cybersécurité ont détecté une intensification des activités du groupe APT36, affilié au…
This website uses cookies.