Le token GitHub de Home Depot est resté exposé pendant un an, ouvrant l’accès aux systèmes internes

 (techcrunch.com)
1 points par GN⁺ 2025-12-14 | 1 commentaires | Partager sur WhatsApp
  • Un chercheur en sécurité a découvert un token d’accès GitHub qu’un employé de Home Depot avait publié par erreur en ligne, révélant que des systèmes internes étaient exposés à l’extérieur depuis un an
  • Ce token donnait des droits d’accès et de modification à des centaines de dépôts de code source privés, ainsi qu’à l’infrastructure cloud, au traitement des commandes et au système de gestion des stocks
  • Le chercheur a envoyé plusieurs e-mails et messages LinkedIn à Home Depot, mais n’a reçu aucune réponse pendant des semaines
  • Home Depot n’a corrigé l’exposition et révoqué l’accès du token qu’après la prise de contact de TechCrunch
  • Home Depot ne dispose ni d’un dispositif de signalement de vulnérabilités ni d’un programme de bug bounty, ce qui met en lumière les lacunes de son dispositif de réponse en matière de sécurité

Vue d’ensemble de l’incident d’exposition de l’accès aux systèmes internes de Home Depot

  • Un chercheur en sécurité a découvert un token d’accès privé qu’un employé de Home Depot avait publié en ligne
    • Ce token aurait été exposé depuis le début de l’année 2024
    • Le chercheur a confirmé qu’il permettait d’accéder à des centaines de dépôts GitHub de Home Depot et de les modifier
  • La clé exposée permettait d’accéder à plusieurs systèmes internes de Home Depot, dont l’infrastructure cloud, le système de traitement des commandes, le système de gestion des stocks et le pipeline de développement logiciel
    • Home Depot héberge l’essentiel de son infrastructure de développement et d’ingénierie sur GitHub depuis 2015

L’alerte du chercheur et la réponse de l’entreprise

  • Le chercheur Ben Zimmermann a envoyé plusieurs e-mails à Home Depot, mais n’a reçu aucune réponse pendant des semaines
    • Il a également envoyé un message LinkedIn au responsable de la sécurité des systèmes d’information (CISO) de Home Depot, Chris Lanzilotta, sans obtenir de réponse
  • Zimmermann a indiqué avoir observé ces derniers mois des cas similaires d’exposition dans d’autres entreprises, et que la plupart avaient exprimé leur reconnaissance
    • Il a déclaré que « Home Depot a été la seule à m’ignorer »

Mesures prises après l’intervention de TechCrunch

  • Home Depot ne dispose ni d’un mécanisme de signalement de vulnérabilités ni d’un programme de bug bounty
    • Zimmermann a donc contacté TechCrunch pour demander de l’aide afin de résoudre le problème
  • Lorsque TechCrunch a contacté le porte-parole de Home Depot, George Lane, le 5 décembre, celui-ci a confirmé la réception de l’e-mail, mais n’a ensuite plus répondu aux questions complémentaires
  • Le token exposé a ensuite été supprimé d’Internet et les droits d’accès ont été révoqués juste après la prise de contact de TechCrunch

Demandes de vérification supplémentaires et absence de réponse

  • TechCrunch a demandé à Home Depot s’il était possible de vérifier, à l’aide de moyens techniques tels que les logs, si ce token avait été utilisé par d’autres personnes, mais n’a pas obtenu de réponse
  • En conséquence, il n’a pas été possible de confirmer si un accès externe effectif avait eu lieu ni d’évaluer l’ampleur des dommages éventuels

Signification de l’incident

  • Ce cas montre que même dans de grandes entreprises, un échec élémentaire de gestion des clés d’accès peut rester sans correction pendant une longue période
  • Il montre aussi que l’absence de dispositif de signalement des vulnérabilités peut retarder la résolution d’un problème
  • Le fait que des mesures n’aient été prises qu’après l’intervention de TechCrunch souligne l’importance de la surveillance externe

À lire aussi

1 commentaires

 
GN⁺ 2025-12-14
Commentaires sur Hacker News

  • TechCrunch a interrogé Home Depot au sujet du token d’accès exposé, mais l’entreprise semble avoir transmis l’affaire à son service juridique puis être entrée en mode silence
    La prise de parole officielle à venir sera probablement remplie de formulations juridiques destinées à éluder la responsabilité

    • Du coup, dans ce genre de cas, je contacte directement le service juridique par courrier
      Ça peut relever d’un vrai sujet légal, donc au moins quelqu’un de compétent le lit et peut agir
      J’ai déjà eu le cas avec une banque qui avait cessé de me répondre à cause d’un problème de vérification d’identité, et une simple lettre a tout débloqué immédiatement
    • Dans un contexte comme aujourd’hui, avec un risque de contentieux élevé, la réaction de Home Depot me paraît être un choix réaliste
      Bien sûr, on aimerait voir le rapport d’analyse interne, mais dans un monde centré sur les actionnaires, la prudence est inévitable

  • La semaine dernière, j’ai exposé par erreur mes clés d’API OpenAI, Anthropic et Gemini
    Les clés apparaissaient telles quelles dans les logs de Claude Code, et Anthropic m’a immédiatement envoyé un e-mail pour désactiver la clé
    En revanche, OpenAI et Google n’ont envoyé aucune alerte
    Surtout, il m’a fallu 10 à 15 minutes rien que pour retrouver la clé Gemini de Google, et elle semblait toujours active
    Avec la montée du vibe coding, une bonne hygiène de gestion des clés devient importante autant pour les émetteurs que pour les utilisateurs

    • Comme cette gestion des clés devient de plus en plus morcelée, ça renforce au contraire l’anxiété liée à la sécurité, au point que je ne sais même plus vraiment ce que je fais
    • Rien que d’entendre le terme “vibe coding”, ça me glace le dos
      Il y a déjà beaucoup d’incidents de sécurité dus au brogramming, et ça pourrait être 100 fois pire
    • Je me demande comment la clé a fuité
      Si elle n’est restée que dans les logs de Claude Code, c’est surprenant que Google l’ait détectée

  • Il m’est déjà arrivé de publier par erreur mon PAT GitHub personnel dans un dépôt public
    À chaque fois, GitHub désactivait immédiatement le token et m’envoyait une notification

    • La détection automatique des tokens de GitHub m’avait assez impressionné
      Dans mon cas, il n’y a pas eu de gros dégâts, mais le système a bien fonctionné

  • Comme dans la blague “Home Depot 2x4”, si quelqu’un avait pu se servir librement en matériaux pendant un an, il aurait probablement fabriqué au moins une sphère en bois

    • Cela dit, je ne sais pas combien de temps le bois tiendrait en environnement profond

  • Je réfléchis à la meilleure manière de faire du secrets management
    Pour l’instant, je me connecte manuellement en SSH pour modifier le fichier .env

    • Pour une seule application, un fichier .env peut suffire
      De toute façon, si l’application est compromise, les secrets restent en mémoire et l’exposition est inévitable
      Si possible, mettre en place une restriction d’accès basée sur l’IP reste la défense la plus solide
    • Avec SOPS, on peut réduire le périmètre de gestion
      En utilisant Age comme backend, il suffit d’avoir une seule clé privée longue durée sur le serveur
    • On peut aussi utiliser la fonction native de gestion des secrets de la plateforme VM, ou encore l’API de 1Password

  • Quelqu’un a demandé : “Quels dégâts cela aurait-il pu causer ?”

    • Il aurait été possible de télécharger l’intégralité du code source interne pour analyser les vulnérabilités ou,
      si GitHub est utilisé pour le déploiement, d’injecter des fonctions malveillantes en production
    • Par exemple, le groupe de pirates Atlas Lion cible les systèmes internes de grands distributeurs
      pour gagner de l’argent via le vol de cartes-cadeaux
      Récemment, il y a aussi eu un cas où une compromission de GitHub chez Salesloft a permis d’entrer dans AWS, de voler des tokens OAuth et d’accéder à des centaines de comptes clients Salesforce

  • Il est difficile de distinguer si une chaîne exposée est une vraie clé d’API ou juste une valeur aléatoire

    • C’est pour cela que beaucoup de services ajoutent aujourd’hui un préfixe comme pat_ ou sk_ aux clés

  • L’expression “Open Source Home Depot” sonne étrangement bien

  • Il est surprenant que GitHub ou OpenAI ne proposent pas eux-mêmes une automatisation du scan de hachages de tokens
    Cela semble simple à implémenter pour mieux protéger les clients
    Quelqu’un suggère de créer un service de scanning indépendant des plateformes

    • GitHub exploite déjà un programme de secret scanning
      À une époque, quand un token Discord était exposé, il était immédiatement désactivé et un compte système envoyait un DM
    • Le scanning de GitHub est assez sophistiqué
      D’après la documentation officielle,
      les motifs correspondant aux principaux fournisseurs sont automatiquement validés et, si nécessaire, les tokens sont automatiquement révoqués
      En revanche, les tokens exposés en dehors de GitHub sont plus difficiles à détecter
    • Malgré cela, il y a encore souvent des cas qui passent entre les mailles du filet
      Il m’arrive de signaler des clés exposées via des programmes de bug bounty
      Malheureusement, Home Depot n’a pas de bug bounty
    • Je me demande si le token a été trouvé dans un commit d’un dépôt public
      Le scanner gratuit de GitHub suffit déjà à détecter ce genre de cas
    • GitHub a des partenariats de validation et de révocation automatiques des tokens avec divers acteurs SaaS/PaaS

  • Quelqu’un a mentionné qu’avec les données de ce système interne, on aurait peut-être pu faire des opérations relevant du délit d’initié