Source : GitGuardian (blog), en collaboration avec Google — résultats présentés à Real World Crypto (RWC) 2026 à Taipei. L’étude analyse à l’échelle d’Internet l’impact réel des fuites de clés privées en reliant des clés exposées publiquement aux certificats TLS via Certificate Transparency (CT).

• Portée et risque 🔐: Depuis 2021, environ 1 M de clés privées uniques ont été détectées sur GitHub et DockerHub. En s’appuyant sur l’infrastructure CT de Google, les chercheurs ont associé >40 000 clés à 140 000 certificats TLS. Au septembre 2025, 2 622 certificats restaient valides, dont >900 protégeant des Fortune 500, des établissements de santé et des agences gouvernementales. Les fuites de clés TLS permettent l’usurpation de sites, l’interception/manipulation de données et potentiellement la décryption de communications passées si la PFS n’était pas généralisée.

• Méthodologie et constats 📊: 921 certificats (35%) ont été validés en ligne, 1 701 (65%) via une simulation de pile TLS. Les mécanismes de révocation sont sous-utilisés : seulement 24 révocations observées via CRL (dont 1 marquée comme compromise) et 56 via OCSP (dont 2 marquées comme compromises). Près de 22% des certificats validés hors ligne différaient de ceux servis en ligne, indiquant souvent une réémission sans révocation de l’ancien certificat. En simulant la validité historique, 24 000 certificats (17,16%) étaient valides au moment de la fuite, avec >4 000 exposés par an.

• Attribution et divulgation 📧: Sur 2 600 certificats valides, seulement 430 (16%) contenaient des infos d’organisation. Les auteurs ont recours à l’OSINT (domains, security.txt, Whois, MX, crawl assisté par LLM) pour identifier environ la moitié des propriétaires, laissant ~1 300 certificats non attribuables. Une campagne de divulgation a envoyé 4 300 emails à 600 organisations pour ces certificats exposés : 54 réponses (9%); même pour les cas les plus probants, 36% seulement ont répondu. 2/20 CERT nationaux ont répondu sous une semaine. Certains programmes de bug bounty ont demandé une preuve que la possession de la clé privée d’un site est problématique. Face aux faibles retours, les chercheurs ont saisi directement les AC : la révocation requérant une signature avec la clé fuyée; 2 200 certificats valides soumis, la plupart révoqués en <48h.

• Résultats et lacunes ⚠️: La campagne atteint 97% de remédiation, au prix d’un effort considérable (4 300 emails, 1 706 entités contactées, 9 soumissions bug bounty, multiples relances et jours d’attribution OSINT). En janvier 2026, 84 certificats restaient valides : 27 de petites AC n’ayant pas révoqué, 6 d’entités gouvernementales non réactives, 51 d’organisations inactives. Plus largement, l’étude met en évidence une mauvaise compréhension mondiale des risques liés aux clés privées et de la révocation.

• Pistes évoquées 🧭: Les auteurs prônent des cryptopériodes plus courtes, l’interdiction de la réutilisation des clés privées, la mise sur liste noire des clés compromises par toutes les AC, et la rotation systématique des clés à chaque renouvellement (déjà pratiquée par Let’s Encrypt/Certbot), à combiner avec des durées de vie des certificats à 47 jours et une rotation obligatoire. Il s’agit d’une publication de recherche visant à cartographier l’usage réel de clés divulguées et à mesurer l’efficacité des démarches de remédiation.

IOCs: Aucun indicateur (domaines, IP, hachages) spécifique n’est fourni.

TTPs probables:

  • Exposition de clés privées sur des dépôts publics (GitHub) et registres d’images (DockerHub).
  • Usurpation de serveurs web et attaques MITM via clés TLS compromises.
  • Réémission de certificats sans révocation des versions compromises.

🧠 TTPs et IOCs détectés

TTP

Exposition de clés privées sur des dépôts publics (GitHub) et registres d’images (DockerHub); Usurpation de serveurs web et attaques MITM via clés TLS compromises; Réémission de certificats sans révocation des versions compromises.

IOC

Aucun indicateur (domaines, IP, hachages) spécifique n’est fourni.

🔗 Source originale : https://blog.gitguardian.com/certificates-exposed-a-google-gitguardian-study/