GitHub a annoncé une amélioration de sa fonction d’analyse secrète qui étend les contrôles de validité aux services populaires tels que Amazon Web Services (AWS), Microsoft, Google et Slack.

Les contrôles de validité, introduits par la filiale Microsoft plus tôt cette année, alertent les utilisateurs si les jetons exposés trouvés par l’analyse secrète sont actifs, permettant ainsi des mesures correctives efficaces. Il a d’abord été activé pour les jetons GitHub.

Le service d’hébergement de code et de contrôle de version basé sur le cloud a déclaré qu’il avait l’intention de prendre en charge davantage de jetons à l’avenir.

Pour activer ou désactiver le paramètre, les propriétaires d’entreprise ou d’organisation et les administrateurs de référentiel peuvent accéder à Paramètres > Sécurité et analyse du code > Analyse des secrets et cocher l’option « Vérifier automatiquement si un secret est valide en l’envoyant au partenaire concerné ».

Plus tôt cette année, GitHub a également étendu les alertes d’analyse des secrets à tous les référentiels publics et a annoncé la disponibilité d’une protection push pour aider les développeurs et les responsables à sécuriser de manière proactive leur code en analysant les secrets hautement identifiables avant qu’ils ne soient poussés.

Ce développement intervient alors qu’Amazon a présenté un aperçu des exigences améliorées en matière de protection des comptes qui obligeront les utilisateurs privilégiés (c’est-à-dire les utilisateurs root) d’un compte AWS Organization à activer l’authentification multifacteur (MFA) à partir de la mi-2024.

« La MFA est l’un des moyens les plus simples et les plus efficaces d’améliorer la sécurité des comptes, offrant une couche de protection supplémentaire pour empêcher les personnes non autorisées d’accéder aux systèmes ou aux données », a déclaré Steve Schmidt, responsable de la sécurité chez Amazon.

Les méthodes MFA faibles ou mal configurées figurent également parmi les 10 erreurs de configuration réseau les plus courantes, selon un nouvel avis conjoint publié par la National Security Agency (NSA) des États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA).

GitHub

« Certaines formes d’AMF sont vulnérables au phishing, au ‘push bombing’, à l’exploitation des vulnérabilités du protocole du système de signalisation 7 (SS7) et/ou aux techniques de ‘SIM swap' », ont indiqué les agences.

« Ces tentatives, si elles réussissent, peuvent permettre à un acteur malveillant d’accéder aux informations d’authentification MFA ou de contourner la MFA et d’accéder aux systèmes protégés par la MFA. »

Les autres erreurs de configuration courantes en matière de cybersécurité sont les suivantes :

  • Configurations par défaut des logiciels et applications
  • Mauvaise séparation des privilèges utilisateur/administrateur
  • Surveillance insuffisante du réseau interne
  • Manque de segmentation du réseau
  • Mauvaise gestion des correctifs
  • Contournement des contrôles d’accès au système
  • Listes de contrôle d’accès (ACL) insuffisantes sur les partages et services réseau
  • Mauvaise hygiène des informations d’identification
  • Exécution de code sans restriction

À titre d’atténuation, il est recommandé aux organisations d’éliminer les informations d’identification par défaut et de renforcer les configurations ; désactiver les services inutilisés et mettre en œuvre des contrôles d’accès ; donner la priorité aux correctifs ; auditer et surveiller les comptes et privilèges administratifs.

Les éditeurs de logiciels ont également été invités à mettre en œuvre des principes de conception sécurisée, à utiliser des langages de programmation sécurisés en mémoire lorsque cela est possible, à éviter d’intégrer des mots de passe par défaut, à fournir des journaux d’audit de haute qualité aux clients sans frais supplémentaires et à imposer des méthodes MFA résistantes au phishing.

« Ces mauvaises configurations illustrent (1) une tendance aux faiblesses systémiques dans de nombreuses grandes organisations, y compris celles ayant une cyber-posture mature, et (2) l’importance pour les fabricants de logiciels d’adopter les principes de sécurité dès la conception pour réduire le fardeau des défenseurs des réseaux », a déclaré le rapport. agences notées.

A lire également