Il semble que chaque organisation expose des secrets sur Internet de nos jours — même le gouvernement américain. Le chercheur de **GitGuardian**, **Guillaume Valadon**, a révélé avoir découvert un dépôt **GitHub** public appartenant à la **Cybersecurity and Infrastructure Security Agency (CISA)** qui contenait 844 Mo de données sensibles, y compris des mots de passe en clair, des jetons d'authentification et d'autres secrets. Bien qu'il soit nommé "Private-CISA", le dépôt était accessible publiquement en ligne depuis le 13 novembre 2025. Dans un [article de blog](https://blog.gitguardian.com/how-we-got-a-cisa-github-leak-taken-down-in-26-hours/), **Valadon** a déclaré avoir découvert pour la première fois le dépôt exposé le 14 mai, après que la Surveillance Publique de **GitGuardian**, qui scanne en continu les sources publiques comme **GitHub** à la recherche de secrets divulgués, ait signalé le dépôt la veille. Après un coup d'œil, il a d'abord suspecté un canular car le contenu du dépôt "semblait trop beau pour être vrai". Hélas, le dépôt était réel, tout comme les secrets qu'il contenait. L'erreur de la **CISA** marque le dernier exemple d'une tendance malheureuse — les organisations échouant à contenir la prolifération des secrets et exposant accidentellement des ensembles de données sensibles sur Internet, où des acteurs malveillants avides se tiennent prêts à les récupérer. Connexe : [L'Opération Ramz d'Interpol ouvre la voie aux collaborations interrégionales au Moyen-Orient](https://www.darkreading.com/cybersecurity-operations/interpol-operation-ramz-cross-region-middle-east) ## Les attaquants obtiennent une "vue détaillée de l'infrastructure cloud" **Valadon** a trouvé que le dépôt contenait des noms de répertoires et de fichiers saisissants, notamment "Important AWS Tokens.txt" et "ENTRA ID - SAML Certificates/". En fait, le dépôt contenait non seulement ces jetons et certificats **SAML**, mais aussi des mots de passe en clair, des clés privées et d'autres identifiants, dont certains étaient encore valides. De plus, le dépôt hébergeait des journaux de construction CI/CD, de la documentation de flux de déploiement, des manifestes **Kubernetes**, des flux **GitHub Actions**, une automatisation d'organisation **GitHub**, et une multitude de données **AWS**, telles que des comptes utilisateurs, des données de gestion des identités et des accès (IAM), des comptes de service, et des chemins de gestion des secrets, entre autres éléments. "Le matériel exposé fournissait une vue détaillée de l'infrastructure cloud, des flux de déploiement, des outils de la chaîne d'approvisionnement logicielle et des pratiques opérationnelles internes", a écrit **Valadon**. **Dark Reading** a contacté la **CISA** pour obtenir un commentaire, mais l'agence n'a pas répondu au moment de la publication. Il n'est pas clair si les secrets ont été accédés au cours des six mois où le dépôt a été en ligne. Des études ont montré que les attaquants surveillent les actifs cloud comme les dépôts **GitHub** à la recherche de secrets exposés et peuvent [s'emparer des fuites en quelques minutes](https://www.techtarget.com/searchsecurity/news/366542352/Attackers-discovering-exposed-cloud-assets-within-minutes) après la mise en ligne des données. **Valadon** a déclaré à **Dark Reading** qu'une "réponse faisant autorité nécessitera la coopération de **GitHub**", car les vues externes des dépôts sont limitées. "Ce que nous pouvons voir de l'extérieur, c'est que le dépôt n'a jamais été forké, d'après les événements publics de **GitHub**. C'est un signal faible mais réel qu'il n'a pas circulé largement", dit-il. "Nous ne pouvons pas observer les clones de l'extérieur, donc nous ne pouvons pas exclure qu'un individu ait téléchargé une copie, mais c'est une inférence, pas une confirmation." Connexe : [Regarder en arrière, regarder en avant : Digérer un bouillabaisse dynamique d'évolution cybernétique](https://www.darkreading.com/cybersecurity-operations/looking-back-looking-forward-bouillabaisse-cyber-evolution) ## Les pratiques à haut risque de la CISA ont conduit à l'exposition La bonne nouvelle est qu'après avoir alerté la **CISA**, l'agence a retiré le dépôt en un peu plus de 24 heures, bien que **Valadon** ait noté que cela a nécessité l'aide du journaliste en cybersécurité **Brian Krebs**, qui a contacté ses contacts au sein de l'agence et a fait remonter le problème. "Crédit à la **CISA** pour avoir agi rapidement — la plupart de nos divulgations prennent beaucoup plus de temps, et certaines ne sont jamais corrigées", a écrit **Valadon**. La mauvaise nouvelle, c'est que le personnel de la **CISA** s'adonnait à des pratiques à haut risque. "Le dépôt était un catalogue de pratiques dangereuses : mots de passe en clair, sauvegardes committées dans Git, et instructions explicites pour désactiver le scan de secrets de **GitHub**", a-t-il écrit. **Valadon** a déclaré à **Dark Reading** que, sur la base d'une analyse du dépôt, l'explication la plus probable est que, comme certains des commits contenaient des secrets codés en dur, la fonctionnalité de protection des push de **GitHub** bloquait les push. "Plutôt que de supprimer les secrets, quelqu'un a documenté comment désactiver le contrôle afin que les commits passent", dit-il. Connexe : [L'IA stimule les investissements en cybersécurité, élargissant la 'Vallée de la Mort'](https://www.darkreading.com/cybersecurity-operations/ai-cybersecurity-investments-valley-death) Ceci, ajoute **Valadon**, est une mauvaise pratique que les organisations matures évitent. Au lieu de cela, elles traitent ces fonctionnalités de sécurité comme