Amazon demande aux auteurs de logiciels open-source de bien faire attention à ne pas laisser leurs identifiants Amazon Web Services visibles dans le code source qu'ils partagent. Un conseil de bon sens qui n'est pas toujours suivi.

L'adage est bien connu ; la première faille de sécurité dans l'informatique se situe entre la chaise et le clavier. Amazon le constate également, et demande aux développeurs qui utilisent ses services d'hébergement Amazon Web Services (AWS) de faire très attention à ne pas diffuser leurs identifiants sur Github, la principale plateforme de partage de code open-source.

Selon le site australien ITNews, il existerait des milliers de résultats renvoyés par Github lorsqu'un internaute tente de trouver des exemples de codes sources dans lesquels apparaissent des identifiants AWS en clair. Une fois obtenus, ces identifiants permettent d'accéder aux mêmes niveaux de privilèges que les titulaires du compte AWS, y compris pour l'accès à des services facturés ou la suppression des données hébergées.

Ces derniers mois, plusieurs développeurs ont reçu des notes salées de la part d'Amazon (qui en rembourse parfois certains), après que leur compte visible dans leur code source fut utilisé à mauvais escient. "Lorsque nous sommes informés que des identifiants ont été potentiellement exposés, nous notifions proactivement les clients affectés et fournissons des indications sur la manière de sécuriser leurs clés d'accès", précise Amazon, qui liste toute une série de conseils de sécurisation.

Partager sur les réseaux sociaux

Articles liés