Confidences d’un hacker déterminé

Cher Journal,

Je pourrais dire que le mois de juin était bien fructueux. Cette fois-ci, c’est à travers les failles des développeurs que j’ai pu aboutir à mes fins !

J’ai commencé, comme d’habitude, par choisir ma cible : une entreprise dans l’industrie des soins de beauté, et donc évidemment un endroit riche en bases de données… Ensuite, il ne me restait plus qu’à faire mes recherches, plus particulièrement sur les plateformes d’hébergement et de gestion de développement de logiciels, ou de tests, comme GitHub ou Postman.

Et paf ! j’ai touché le jackpot. Un trésor de clés API et d’identifiants sur GitHub ! Grâce à ces trouvailles, j’ai pu très facilement pirater leur application et accéder à toutes les données dont j’avais besoin pour me faire du fric.

Décidément, les développeurs de nos jours sont de moins en moins vigilants. Ils cherchent certes à sécuriser leurs applications le plus possible, mais ils négligent la protection de leur environnement de production. Leur problème principal est qu’ils ne se rendent pas compte que les nouvelles pratiques de développement et d’industrialisation rapide sont en train de réduire leur contrôle sur les bases de données. En voulant tout publier partout et rapidement, il y a forcément des fuites, et moi, j’adore ça !

Comme toujours, une victoire me motive à en vouloir plus. J’ai donc réitéré ma technique sur une autre cible. Malheureusement, malgré tous les bouts de code et les tests que j’ai pu parcourir, je n’ai réussi à trouver ni clés ni identifiants. Là, je suis tombé sur des gens bien malins ! Ils ont sûrement dû adopter des services de protection contre la fuite de données leur permettant de détecter toute donnée sensible publique, et donc de les retirer au plus vite.

Certains ne cessent de me contrer… Mais je n’ai pas dit mon dernier mot, je reviendrai.

À bientôt.

Rédigé par Élie Zeidan, manager à Potech Consulting, et Maria Héléna Moukheiber, consultante en cybersécurité à Potech Consulting.