Aller au contenu

Secret information transmitted over the network

Informations secrètes transmises sur le réseau

Description

Il a été détecté que l'application transmet des informations d'identification secrètes, telles que des clés SSH, des certificats privés ou des clés d'API privées, sur le réseau.

Les secrets peuvent être divisés en deux catégories présentant des profils de risque différents :

  • Surfacturation : concerne les clés d'API qui accordent l'accès à des services tels que Google Maps et sont facturées au nombre de requêtes. Les attaquants récolteront les clés pour accéder au service sans payer, tandis que la cible paie pour le service.

  • Accès non autorisé : concerne les clés, les secrets et les jetons qui accordent l'accès à des services tels que des compartiments S3. Si le service est mal configuré, les attaquants peuvent accéder à des données non autorisées ou élever leurs privilèges via d'autres services.

Recommandation

Pour atténuer les risques associés aux secrets codés en dur ou divulgués, prenez en compte les éléments suivants :

  • Adopter la tokenisation ou des mécanismes d'authentification : Au lieu de transmettre des informations d'identification brutes, envisagez de mettre en œuvre la tokenisation ou des mécanismes d'authentification tels que OAuth ou JWT (JSON Web Tokens) pour accéder aux API. Cela réduit le risque d'exposer des informations d'identification sensibles pendant la transmission.
  • Mettre en œuvre des protocoles de transmission sécurisés : Assurez-vous que toutes les communications transmettant des informations d'identification sensibles sont chiffrées à l'aide de protocoles sécurisés tels que TLS (Transport Layer Security) pour empêcher les écoutes clandestines et l'interception des informations d'identification pendant la transmission.
  • Assurer la rotation régulière des informations d'identification : Mettez en œuvre une politique de rotation des informations d'identification pour renouveler régulièrement les clés d'API, les jetons et autres informations d'identification sensibles. Cela minimise la fenêtre d'opportunité pour les attaquants qui pourraient avoir intercepté des informations d'identification pendant la transmission.

Liens

Normes

  • PCI_STANDARDS:
    • REQ_1_2
  • HIPAA_CONTROLS:
    • SECURITY252
    • SECURITY212
    • SECURITY213