Fuite de cles cloud
Qu'est-ce que Fuite de cles cloud ?
Fuite de cles cloudExposition accidentelle de cles cloud de longue duree dans des depots publics, images de conteneur, logs ou code client, souvent exploitee en quelques minutes.
Une fuite de cles cloud survient lorsque des credentials de longue duree (AWS access key ID et secret access key, cles de compte Azure Storage, JSON de service account GCP) sont pousses dans des depots git publics, integres dans des bundles web ou mobiles, embarques dans des images de conteneur ou imprimes dans des logs. Des scanners automatises detectent ces cles en quelques secondes et invoquent immediatement les APIs pour lancer du compute, exfiltrer des donnees ou escalader des privileges. Defenses: scanning de secrets pre-commit (gitleaks, trufflehog), detection cote provider (AWS, GitHub secret scanning), credentials federes de courte duree via OIDC, playbooks de revocation immediate et alertes CloudTrail.
● Exemples
- 01
Des cles AWS prefixees AKIA poussees sur un depot GitHub public et exploitees en cinq minutes pour du minage.
- 02
Un JSON de service account GCP fuite dans un bundle frontend utilise pour extraire un dataset BigQuery.
● Questions fréquentes
Qu'est-ce que Fuite de cles cloud ?
Exposition accidentelle de cles cloud de longue duree dans des depots publics, images de conteneur, logs ou code client, souvent exploitee en quelques minutes. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Fuite de cles cloud ?
Exposition accidentelle de cles cloud de longue duree dans des depots publics, images de conteneur, logs ou code client, souvent exploitee en quelques minutes.
Comment fonctionne Fuite de cles cloud ?
Une fuite de cles cloud survient lorsque des credentials de longue duree (AWS access key ID et secret access key, cles de compte Azure Storage, JSON de service account GCP) sont pousses dans des depots git publics, integres dans des bundles web ou mobiles, embarques dans des images de conteneur ou imprimes dans des logs. Des scanners automatises detectent ces cles en quelques secondes et invoquent immediatement les APIs pour lancer du compute, exfiltrer des donnees ou escalader des privileges. Defenses: scanning de secrets pre-commit (gitleaks, trufflehog), detection cote provider (AWS, GitHub secret scanning), credentials federes de courte duree via OIDC, playbooks de revocation immediate et alertes CloudTrail.
Comment se défendre contre Fuite de cles cloud ?
Les défenses contre Fuite de cles cloud combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Fuite de cles cloud ?
Noms alternatifs courants : Fuite de cles AWS, Fuite d'identifiants cloud.
● Termes liés
- cloud-security№ 190
Vol de tokens cloud
Vol de tokens OAuth, SAML ou de signature aupres d'un service d'identite cloud et rejeu pour usurper utilisateurs ou services sans avoir besoin de mots de passe.
- cloud-security№ 505
Escalade de privileges IAM
Detournement de permissions IAM existantes dans le cloud pour obtenir des privileges superieurs, souvent par edition de policy, prise de role ou auto-attribution de droits admin.
- cloud-security№ 182
Cryptojacking cloud
Utilisation non autorisee des ressources de calcul cloud d'une victime pour miner des cryptomonnaies, generant des factures elevees tandis que l'attaquant en percoit les gains.
- cloud-security№ 183
Exfiltration de donnees cloud
Copie ou transfert non autorise de donnees hors d'un compte cloud, souvent via APIs de stockage, snapshots, replication ou comptes controles par l'attaquant.
● Voir aussi
- № 079Attaque AWS IMDSv1
- № 255Finding CSPM