Un contractant de la **Cybersecurity & Infrastructure Security Agency (CISA)** maintenait un dépôt **GitHub** public qui exposait des identifiants à plusieurs comptes **AWS GovCloud** hautement privilégiés et à un grand nombre de systèmes internes de la CISA jusqu'à récemment. Des experts en sécurité qualifient cet événement de l'une des fuites de données gouvernementales les plus flagrantes de l'histoire récente, car l'archive comprenait des fichiers détaillant comment la CISA construit, teste et déploie des logiciels en interne. ### Découverte par GitGuardian Le 15 mai, **KrebsOnSecurity** a été contacté par **Guillaume Valadon**, un chercheur de la société de sécurité **GitGuardian**. **GitGuardian** scanne constamment les dépôts de code publics comme **GitHub** à la recherche de secrets exposés, alertant automatiquement les propriétaires de comptes des expositions potentielles de données sensibles. Valadon a contacté l'agence car le propriétaire du dépôt ne répondait pas et les informations exposées étaient hautement sensibles.  ### Détails du dépôt "Private-CISA" Le dépôt **GitHub**, nommé "**Private-CISA**", contenait un grand nombre d'identifiants et de fichiers internes CISA/DHS, y compris des clés cloud, des tokens, des mots de passe en clair, des logs et d'autres actifs sensibles de la CISA. Valadon a noté que les logs de commit montraient que l'administrateur de la CISA avait désactivé le paramètre par défaut de **GitHub** qui empêche les utilisateurs de publier des clés SSH ou d'autres secrets dans des dépôts de code publics. "Mots de passe stockés en clair dans un csv, sauvegardes dans git, commandes explicites pour désactiver la fonctionnalité de détection de secrets de GitHub," a écrit Valadon. "Honnêtement, je pensais que tout était faux avant d'analyser le contenu plus en profondeur. C'est effectivement la pire fuite que j'ai vue de ma carrière. C'est évidemment une erreur individuelle, mais je pense que cela pourrait révéler des pratiques internes." ### Identifiants exposés et impact potentiel Un fichier, intitulé "importantAWStokens", incluait des identifiants administratifs pour trois serveurs **Amazon AWS GovCloud**. Un autre fichier, "AWS-Workspace-Firefox-Passwords.csv", listait des noms d'utilisateur et des mots de passe en clair pour des dizaines de systèmes internes de la CISA, y compris un appelé "LZ-DSO" (Landing Zone DevSecOps), l'environnement de développement de code sécurisé de l'agence. **Philippe Caturegli**, fondateur de la société de conseil en sécurité **Seralys**, a validé que les identifiants exposés pouvaient authentifier les comptes AWS GovCloud à un niveau de privilège élevé. Il a également noté que le dépôt incluait des identifiants en clair pour l'"artifactory" interne de la CISA, un dépôt de paquets de code utilisé pour construire des logiciels. Cela pourrait être une cible de choix pour les attaquants cherchant à établir une présence persistante dans les systèmes de la CISA. "Ce serait un endroit idéal pour se déplacer latéralement," a-t-il dit. "Injecter une backdoor dans certains paquets de logiciels, et à chaque fois qu'ils construisent quelque chose de nouveau, ils déploient votre backdoor partout."  ### Réponse et enquête de la CISA La CISA a déclaré être au courant de l'exposition signalée et enquête sur la situation. "Actuellement, rien n'indique que des données sensibles aient été compromises suite à cet incident," a écrit un porte-parole de la CISA. "Bien que nous exigions de nos membres d'équipe les normes les plus élevées en matière d'intégrité et de conscience opérationnelle, nous travaillons à la mise en œuvre de garanties supplémentaires pour prévenir de futurs incidents." Le dépôt "Private CISA" était maintenu par un employé de **Nightwing**, un contractant gouvernemental. Nightwing a refusé de commenter, redirigeant les demandes vers la CISA. Le dépôt a été créé le 13 novembre 2025, et le compte **GitHub** du contractant date de septembre 2018. Le compte **GitHub** a été mis hors ligne peu après les notifications, mais les clés AWS exposées sont restées valides pendant 48 heures supplémentaires. ### Facteurs contributifs et pratiques de sécurité La CISA opère actuellement avec un budget et des effectifs réduits. Le dépôt Private CISA, désormais inactif, a montré que le contractant utilisait également des mots de passe faciles à deviner pour les ressources internes, tels que les noms de plateformes suivis de l'année en cours. "Ce qui s'est passé, je suppose, c'est que [le contractant de la CISA] utilisait ce GitHub pour synchroniser des fichiers entre un ordinateur portable de travail et un ordinateur personnel, car il a régulièrement commité dans ce dépôt depuis novembre 2025," a déclaré Caturegli. "Ce serait une fuite embarrassante pour n'importe quelle entreprise, mais c'est encore plus le cas ici car il s'agit de la CISA."