Docker Hub : des milliers d’images contiennent des clés privées ou d’API

Docker et la conteneurisation se sont petit à petit imposés dans le milieu du développement et de l’administration de systèmes. Mais des chercheurs allemands tirent le signal d’alarme : en analysant des milliers d’images issus de Docker Hub, ils ont découvert que 9 % contenaient des clés privées ou des clés d’API.

Des chercheurs de l’École supérieure polytechnique de Rhénanie-Westphalie ont révélé [PDF], lors de la conférence scientifique Asia Computer and communications Security qui se tenait la semaine dernière, que des milliers de conteneurs d’images hébergés sur Docker Hub stockaient des informations qui auraient dû rester confidentielles.

Les chercheurs ont contacté 1 181 mainteneurs des images Docker concernées pour leur faire part de leur découverte problématique, en retrouvant leurs emails via les variables des Dockerfiles ou leurs comptes Gravatar liés à Docker Hub. Quelques heures après, ils avaient reçu plus de 30 réponses d’utilisateurs expliquant être en cours de correction des images ou les informant que l’image n’était plus utilisée.

Comme nous l’expliquions dans notre dossier sur le sujet il y a plus de deux ans, le déploiement de services via l’utilisation de « conteneurs » est devenu monnaie courante, notamment via l’outil Docker développé il y a une dizaine d’années et son registre Docker Hub qui permet d’héberger n’importe quelle image créée par cet outil.

Notre dossier sur les conteneurs :

• Docker et la conteneurisation par l’exemple
• Comment déployer un site statique à la demande via Docker (CaaS) et votre propre image
• Linux Containers (LXC) dans Proxmox VE 7.0 : installez simplement des distributions et services

Ce système est très pratique pour déployer un service sur une machine sans se préoccuper de ce qui tourne dessus et, finalement, industrialiser un peu plus le déploiement. Mais si le conteneur est mal généré, il peut contenir des informations qui ne devraient pas être divulguées, comme des clés privées SSH, SSL, d’authentification IoT (Internet of things) ou encore des clés API pour se connecter à des services comme Twitter, Facebook ou Slack.

Dans leur conclusion, les chercheurs rappellent qu’ « en matière de sécurité, le partage de clés secrètes ou l’utilisation de clés déjà compromises rompt les promesses, par exemple en matière d’authentification ou de contrôle d’accès. Par conséquent, les secrets cryptographiques ne doivent pas être inclus dans les images de conteneurs accessibles au public ».

Source