Des clés de sécurité explosives et des jetons d’accès traînent sur de nombreux compartiments AWS S3 non sécurisés. Le scanner S3crets les trouve.

À la suite d’un incident de sécurité chez SEGA, le chercheur en sécurité Eilon Harel a déterminé qu’il n’existait jusqu’à présent aucun outil approprié pour rechercher les fuites de données accidentelles. Il a donc développé lui-même le scanner open source S3crets. Grâce à cela, les clés et les jetons d’accès peuvent être automatiquement retrouvés dans des compartiments S3 accessibles au public d’Amazon Web Services (AWS).

De nombreuses entreprises ne sécurisent pas suffisamment leurs compartiments S3

Le nouvel outil open source”Scanner de S3cret» recherche dans les compartiments AWS S3 accessibles au public des clés ou des jetons qui ne sont pas réellement destinés au public. Le S3 (Simple Storage Service) d’Amazon est un service de stockage en nuage. De nombreuses entreprises l’utilisent pour fournir des logiciels, des services et des données dans des conteneurs, appelés buckets.

Des violations de données se sont produites dans le passé parce que les clients d’AWS ont échoué à plusieurs reprises à sécuriser leurs compartiments S3 de telle sorte que leur contenu ne soit pas accessible au public. En conséquence, les attaquants ont souvent eu accès à des données sensibles de l’entreprise, ce qui a parfois également affecté les employés et les clients.

Eilon Harel développe le scanner S3crets

Le scanner S3crets se présente comme un outil avec lequel les clés d’authentification, les jetons d’accès et les clés API peuvent être trouvés dans les compartiments S3 non sécurisés. Parce que si les pirates s’emparent de ces données, ils accèdent souvent à de nombreux autres services ou même à des réseaux d’entreprise entiers.

Le développeur de l’outil open source disponible sur GitHub est le chercheur en sécurité Eilon Harel. Lors du traitement d’un incident de sécurité chez le fabricant de jeux SEGA, le chercheur a remarqué qu’il n’existait aucun outil pour scanner les fuites de données accidentelles. Il a donc décidé de prendre les choses en main et a développé le scanner S3crets basé sur le langage de programmation Python. Cela permet aux seaux S3 d’être automatiquement recherchés pour des informations explosives.

Les compartiments S3 sont automatiquement recherchés pour les clés

Comme le rapporte Harel, l’outil peut effectuer automatiquement les actions suivantes :

• Utilisation de CSPM pour obtenir une liste des compartiments S3 publics
• Répertorier le contenu du bucket via des requêtes API
• Vérifier les fichiers texte exposés
• Téléchargez les fichiers texte correspondants
• Analyse du contenu pour les clés et les jetons
• Transmission des résultats au SIEM

L’outil basé sur Go Trufflehog est utilisé pour analyser le contenu des fichiers texte dans un compartiment. Celui-ci se spécialise parfois dans la recherche de clés privées sur GitHub, GitLab, les systèmes de fichiers et également les buckets S3 d’AWS. Harel considère son scanner S3crets comme un outil précieux pour les entreprises afin de minimiser les fuites de données. Cependant, cela nécessite qu’ils utilisent régulièrement le logiciel pour scanner leurs bases de données.