Un nombre croissant de botnets parcourent le Web à la recherche de fichiers de configuration accessibles publiquement et plus spécifiquement des fichiers ENV. Ceux-ci peuvent exposer des mots de passe pour les bases de données des sites ainsi que des clés API pour l’accès à des services tiers.
Trop de développeurs négligent encore la sécurité élémentaire de leurs sites Web. De nombreux botnets scannent désormais la toile à la recherche de fichiers ENV non sécurisés, dans l’espoir de dérober des mots de passe et autres informations confidentielles. Le phénomène n’est pas complètement nouveau, les développeurs étant régulièrement mis en garde sur la sécurité des fichiers de configuration depuis des années.
Les botnets, des réseaux d’ordinateurs compromis et commandés à distance, étaient déjà utilisés pour trouver des fichiers de configuration GIT ou des clés privées SSH mis en ligne accidentellement. Cependant, ils visent désormais plus spécifiquement les fichiers d’environnement ENV. Selon les données de l’entreprise de cybersécurité GreyNoise, en trois ans plus de 2.800 adresses IP ont été utilisées pour scanner le Web à la recherche de fichiers ENV, dont 1.100 au cours des quatre dernières semaines.
Les fichiers ENV sont utilisés par différents outils de développement comme Docker ou Node.js. Ils contiennent les variables d’environnement, notamment des mots de passe et des clés API. Ces dernières sont des codes personnels pour accéder à des services en ligne, comme des fonctionnalités Google, des données du gouvernement et bien d’autres. Étant de simples fichiers texte sans chiffrement, les fichiers ENV sont normalement placés dans des dossiers protégés, non accessibles depuis le Web.
Ainsi, un fichier ENV exposé sur le Web donne accès non seulement aux bases de données de l’entreprise propriétaire du site, mais également à des données et fonctions sur des services tiers. Les développeurs doivent donc s’assurer au plus vite qu’aucun fichier ENV n’est accessible en ligne. Dans le cas contraire, il sera nécessaire de changer tous les mots de passe, clés API et tout autre code personnel.
Futura