Un jeton aux droits illimités sans supervision permet une compromission totale et silencieuse
Ce qu’il faut retenir
Un jeton aux droits illimités, sans expiration, sans supervision est une bombe à retardement. S’il est volé, l’attaquant dispose d’un accès persistant et indétectable.
Moindre privilège + durée de vie courte — un jeton ne devrait jamais avoir plus de droits que nécessaire, ni une durée de vie supérieure à son usage.
L’inventaire des secrets est un prérequis à la réponse à incident — changer ses jetons après un incident sans inventaire complet revient à changer la serrure en laissant un double de clé dehors. Aqua l’a fait deux fois.
Illustrations
Cas 1 : CanisterWorm — Aqua Security (2026)
Ce qui s’est passé : Mi-mars 2026, les attaquants compromettent le plugin officiel de Trivy (outil d’analyse de vulnérabilités d’Aqua Security) injecté dans les pipelines CI/CD. À chaque exécution automatique, un programme espion récolte les secrets qui transitent dans l’environnement. Il capture un jeton d’administration GitHub à durée illimitée, sans supervision, ouvrant l’accès administrateur sur 2 organisations GitHub. Les attaquants testent discrètement le jeton (une action effacée en une seconde), puis passent à l’action : en 2 minutes, 44 dépôts internes sont défacés, le code source et des secrets de production sont exposés, 141 packages npm sont contaminés par un ver auto-propageable. En bonus, un programme destructeur est envoyé aux machines infectées pour effacer les données si elles sont localisées en Iran.
Pourquoi c’est arrivé : Le jeton capturé avait des droits administrateur illimités, aucune date d’expiration, et n’était pas supervisé. Une fois volé, l’attaquant pouvait l’utiliser indéfiniment sans déclencher d’alerte. La supply chain CI/CD (plugin tiers dans le pipeline) était le vecteur d’entrée.
Conséquences : 44 dépôts exposés, 141 packages logiciels contaminés, serveurs effacés, secrets de production exfiltrés. Aqua a révoqué ses jetons 2 fois — en oubliant des clés actives à chaque fois.
Articles liés
- TeamPCP deploys worm via npm Trivy compromise — angle : analyse technique complète de l’attaque