Cet incident ajoute Toyota à la liste des entreprises qui ont été exposées à des risques similaires, une liste qui comprend Samsung, Nvidia, et Twitch, pour n’en citer que quelques-unes. Bien que cette fuite chez Toyota soit actuellement considérée comme assez limitée, comparée aux 6 695 secrets exposés dans le cas de Samsung, le nombre croissant d’entreprises confrontées à de tels problèmes reste une tendance alarmante.

"Les expositions de données sur des dépôts Git publics sont un sujet particulièrement récurrent. Le code destiné à des dépôts privés étroitement contrôlés est très souvent poussé vers des dépôts publics appartenant à des employés ou des contractants, en dehors du contrôle de sécurité de leurs organisations GitHub."

Que s’est-il passé ?

T-Connect

En 2014, Toyota a introduit un nouveau service télématique appelé T-Connect pour les clients, offrant une réponse vocale interactive et permettant aux conducteurs de se connecter à des applications tierces. Toyota le présente comme ses "services connectés qui fournissent des services sûrs, sécurisés, confortables et pratiques grâce à la communication avec le véhicule."

T-Connect permet des fonctions telles que le démarrage à distance, le Wi-Fi embarqué, l’accès à la clé numérique, le contrôle total des paramètres fournis par le tableau de bord, ainsi qu’une ligne directe vers l’application de services My Toyota. Les serveurs qui contrôlent ces options contiennent des numéros d’identification et des emails des clients.

Un sous-traitant et un repo public

En décembre 2017, alors qu’il travaillait avec un sous-traitant non nommé (jusqu’à présent), une partie du code source de T-Connect a été téléchargée sur un dépôt GitHub public. À l’intérieur du repo se trouvait une clé d’accès codée en dur pour le serveur de données qui gère les informations des clients. Quiconque trouvait cette clé d’accès pouvait accéder au serveur, obtenant ainsi un accès aux 296 019 clients.

Ce n’est que le 15 septembre 2022 que quelqu’un a remarqué que ce dépôt était public et que les données des clients étaient potentiellement exposées. Toyota a depuis rendu le repo privé et a invalidé et remplacé toutes les informations d’identification de connexion affectées.

Quelle est la gravité de la situation ?

Bien que les numéros d’identification et les emails des clients aient pu être exposés, les noms, les données de carte de crédit et les numéros de téléphone des clients n’étaient pas stockés dans la base de données exposée et ne sont donc pas en danger. Toyota a commencé à prendre contact avec les clients concernés. Dans le cadre de cette action, la société a mis en place un formulaire spécial sur son site pour permettre aux clients de vérifier si leurs données ont été exposées.

Pour l’instant, rien n’indique que cette brèche permettrait à des acteurs malveillants de faire plus que récolter des emaills et les numéros de gestion des clients qui y sont associés. Toyota n’a pas été en mesure de confirmer que des abus ou des attaques ont eu lieu en utilisant les données récoltées.

Comment les gens peuvent-ils se protéger ?

Toyota avertit ses clients que, bien qu’aucune utilisation non autorisée de leurs informations personnelles n’ait été détectée, tous les utilisateurs concernés doivent se méfier des courriels non sollicités et des attaques par hameçonnage.

L’avis de Toyota indique : "Si vous recevez un courriel suspect dont l’expéditeur ou l’objet est inconnu, il existe un risque d’infection par un virus ou d’accès non autorisé. Veuillez donc ne pas ouvrir le fichier joint au courriel et supprimer immédiatement le courriel lui-même."

Cet incident nous rappelle qu’avec tous les e-mails, il est important de ne suivre que les liens provenant de sources fiables. En cas de doute sur la validité d’un email, il convient d’inspecter l’en-tête pour s’assurer que le domaine est légitime et d’utiliser l’aperçu au survol pour tout lien afin de s’assurer que l’URL ne vous redirige pas vers un site potentiellement dangereux.

"Les attaquants peuvent utiliser le contexte ainsi que les e-mails volés pour créer des campagnes de phishing plus convaincantes. Par exemple, le fait de savoir qu’ils sont des clients de Toyota peut les faire paraître plus dignes de confiance".

Comment les développeurs peuvent-ils empêcher que cela se reproduise ?
Deux erreurs de sécurité sont à l’origine de ce dernier incident chez Toyota :

● Du code destiné à être privé a été poussé vers un dépôt public.
● Un code d’identification pour un serveur de base de données contenant des données clients a été codé en dur dans le dépôt.

Git est un système de contrôle de version performant, utilisé par plus de 93% des développeurs, et est au cœur des pipelines CI/CD modernes. L’un des avantages de Git est que chacun dispose d’une copie complète du projet sur lequel il travaille. Cet accès à la copie complète signifie également que chaque développeur peut, à son tour, pousser sa copie vers des endroits non autorisés, tels que des dépôts publics. S’il n’est peut-être pas possible d’empêcher un contractant de pousser du code où il veut, il est possible de détecter quand du code ou de la propriété intellectuelle a été poussé là où il ne devrait pas être. Il s’agit d’un problème sérieux qui touche l’industrie du logiciel.

GitGuardian a mis à disposition un outil gratuit, HasMyCodeLeaked, pour aider les entreprises à identifier les fuites potentielles de code source. Cet outil gratuit peut effectuer une recherche exacte des "empreintes digitales" du code dans l’historique public de GitHub, aidant à identifier rapidement les dépôts qui contiennent du code ou des données privées.

Le codage en dur de secrets est un problème sérieux qui touche l’industrie du logiciel aujourd’hui. En 2021, nous avons découvert plus de 6 millions de secrets dans les seuls dépôts publics de GitHub. Alors que la sécurité dans DevOps se " déplace vers la gauche " sur les épaules des développeurs pressés par le temps, il est essentiel qu’ils utilisent des outils et des services qui empêchent les secrets de se retrouver dans leurs dépôts. Les secrets d’une entreprise qui sont codés en dur peuvent être exposés de plusieurs façons, notamment s’ils sont poussés vers des dépôts publics, mais aussi si le code est divulgué par un employé mécontent ou volé par un acteur malveillant. Il s’agit d’un véritable angle mort pour les entreprises qui n’ont pas mis en place de détection des secrets.