## Un sous-traitant de la CISA expose des données sensibles sur GitHub Des parlementaires des deux chambres du Congrès exigent des réponses de l'**U.S. Cybersecurity & Infrastructure Security Agency (CISA)** après que KrebsOnSecurity a rapporté qu'un sous-traitant de la CISA avait intentionnellement publié des clés AWS GovCloud et une vaste quantité d'autres secrets de l'agence sur un compte **GitHub** public. L'enquête intervient alors que la CISA lutte encore pour contenir la violation et invalider les identifiants divulgués.  Le 18 mai, KrebsOnSecurity a rapporté qu'un sous-traitant de la CISA disposant d'un accès administratif à la plateforme de développement de code de l'agence avait créé un profil GitHub public appelé “**Private-CISA**” qui incluait des identifiants en clair pour des dizaines de systèmes internes de la CISA. Des experts ayant examiné les secrets exposés ont déclaré que les journaux de commit du dépôt de code montraient que le sous-traitant de la CISA avait désactivé la protection intégrée de GitHub contre la publication d'identifiants sensibles dans les dépôts publics. La CISA a reconnu la fuite mais n'a pas répondu aux questions concernant la durée de l'exposition des données. Cependant, des experts ayant examiné l'archive désormais désactivée Private-CISA ont déclaré qu'elle avait été créée à l'origine en novembre 2025 et qu'elle présentait un schéma cohérent avec un opérateur individuel utilisant le dépôt comme espace de travail temporaire ou mécanisme de synchronisation plutôt qu'un dépôt de projet organisé. ## Enquête du Congrès Dans une déclaration écrite, la CISA a déclaré “qu'il n'y a aucune indication que des données sensibles aient été compromises à la suite de l'incident.” Mais dans une lettre du 19 mai (PDF) adressée au directeur par intérim de la CISA, **Nick Andersen**, la **sénatrice Maggie Hassan** (D-NH) a déclaré que la fuite d'identifiants soulevait de sérieuses questions sur la manière dont une telle faille de sécurité a pu se produire au sein même de l'agence chargée d'aider à prévenir les cyberattaques. "Ce rapport soulève de sérieuses préoccupations concernant les politiques et procédures internes de la CISA à une époque de menaces de cybersécurité importantes contre les infrastructures critiques américaines," a écrit la sénatrice Hassan.  La sénatrice Hassan a noté que l'incident s'est produit sur fond de perturbations majeures internes à la CISA, qui a perdu plus d'un tiers de ses effectifs et la quasi-totalité de ses dirigeants après que l'administration Trump a imposé une série de départs à la retraite anticipée, de primes de départ et de démissions dans les différentes divisions de l'agence. **Le représentant Bennie Thompson** (D-MS), membre principal du House Homeland Security Committee, a fait écho aux préoccupations de la sénatrice. "Nous craignons que cet incident ne reflète une culture de sécurité diminuée et/ou une incapacité de la CISA à gérer adéquatement son support contractuel," a écrit Thompson dans une lettre du 19 mai au chef par intérim de la CISA, co-signée par **la représentante Delia Ramirez** (D-Ill), membre principal du sous-comité sur la cybersécurité et la protection des infrastructures du panel. "Ce n'est un secret pour personne que nos adversaires – comme la Chine, la Russie et l'Iran – cherchent à accéder et à persister sur les réseaux fédéraux. Les fichiers contenus dans le dépôt ‘Private-CISA’ ont fourni les informations, l'accès et la feuille de route pour faire exactement cela." ## Vulnérabilités persistantes KrebsOnSecurity a appris que plus d'une semaine après que la CISA a été informée pour la première fois de la fuite de données par la société de sécurité **GitGuardian**, l'agence travaille toujours à invalider et remplacer de nombreuses clés et secrets exposés. Le 20 mai, KrebsOnSecurity a entendu **Dylan Ayrey**, le créateur de **TruffleHog**, un outil open-source pour découvrir les clés privées et autres secrets enfouis dans le code hébergé sur GitHub et d'autres plateformes publiques. Ayrey a déclaré que la CISA n'avait toujours pas invalidé une clé privée RSA exposée dans le dépôt Private-CISA qui accordait l'accès à une application GitHub appartenant au compte d'entreprise de la CISA et installée sur l'organisation GitHub CISA-IT avec un accès complet à tous les dépôts de code. "Un attaquant avec cette clé peut lire le code source de tous les dépôts de l'organisation CISA-IT, y compris les dépôts privés, enregistrer des runners auto-hébergés non autorisés pour détourner les pipelines CI/CD et accéder aux secrets des dépôts, et modifier les paramètres d'administration des dépôts, y compris les règles de protection des branches, les webhooks et les clés de déploiement," a déclaré Ayrey à KrebsOnSecurity. CI/CD signifie Continuous Integration et Continuous Delivery, et fait référence à un ensemble de pratiques utilisées pour automatiser la construction, le test et le déploiement de logiciels. KrebsOnSecurity a informé la CISA des découvertes d'Ayrey le 20 mai. La CISA a accusé réception de ce rapport, mais n'a pas répondu aux demandes de suivi. Ayrey a déclaré que la CISA semblait avoir invalidé la clé privée RSA exposée peu de temps après cette notification. Mais il a noté que la CISA n'avait toujours pas fait pivoter les identifiants divulgués liés à d'autres technologies de sécurité critiques déployées sur le portefeuille technologique de l'agence (KrebsOnSecurity ne nomme pas ces technologies publiquement pour le moment). Ayrey a déclaré que sa société Truffle Security surveille GitHub et un certain nombre d'autres plateformes de code pour les clés exposées, et tente d'alerter les comptes affectés de l'exposition de données sensibles. Ils peuvent le faire facilement sur GitHub car la plateforme publie un flux en direct qui comprend un enregistrement de tous les commits et changements apportés aux dépôts de code publics. Mais il a dit que les acteurs cybercriminels surveillent également ces flux publics, et sont souvent rapides à exploiter les clés API ou SSH qui sont accidentellement publiées dans les commits de code.  En pratique, il est probable que des groupes de cybercriminalité ou des adversaires étrangers aient également remarqué la publication de ces secrets de la CISA, dont le plus flagrant semble s'être produit fin avril 2025, a déclaré Ayrey. "Nous surveillons ce flux de données pour les clés, et nous avons des outils pour essayer de déterminer à qui elles appartiennent," a-t-il dit. "Nous avons des preuves que les attaquants surveillent également ce flux. Quiconque surveille les événements GitHub pourrait détenir ces informations." **James Wilson**, l'éditeur de technologie d'entreprise pour le podcast de sécurité *Risky Business*, a déclaré que les organisations utilisant GitHub pour gérer des projets de code peuvent définir des politiques descendantes qui empêchent les employés de désactiver les protections de GitHub contre la publication de clés secrètes et d'identifiants. Mais le co-animateur de Wilson, **Adam Boileau**, a déclaré qu'il n'est pas certain qu'une technologie puisse empêcher les employés d'ouvrir leur propre compte GitHub personnel et de l'utiliser pour stocker des informations sensibles et propriétaires. "En fin de compte, c'est quelque chose que l'on ne peut pas résoudre avec un contrôle technique," a déclaré Boileau dans le podcast de cette semaine. "C'est un problème humain où vous avez embauché un sous-traitant pour faire ce travail et il a décidé de sa propre initiative d'utiliser GitHub pour synchroniser le contenu d'une machine de travail à une machine personnelle. Je ne sais pas quels contrôles techniques vous pourriez mettre en place étant donné que cela est fait, vraisemblablement, en dehors de tout ce que la CISA gérait ou même avait une visibilité."