🔍 Contexte

Publié le 27 mars 2026 par The Register, cet article rend compte d’une publication de recherche académique (preprint) intitulée “Keys on Doormats: Exposed API Credentials on the Web”, réalisée par des chercheurs de Stanford, UC Davis et TU Delft.

📊 Méthodologie et résultats

Les chercheurs ont analysé environ 10 millions de sites web à l’aide de l’outil TruffleHog, en se concentrant sur l’analyse dynamique de sites en production (et non sur les dépôts de code). Ils ont découvert :

  • 1 748 credentials API valides répartis sur plus de 10 000 pages web
  • Des clés donnant accès à des services tels que AWS, GitHub, Stripe, OpenAI, Cloudflare, SendGrid, Twilio, Razorpay
  • AWS représente à lui seul plus de 16 % des expositions vérifiées, présent sur plus de 4 693 sites
  • Les credentials ont été vérifiés pour 14 fournisseurs de services différents

🏦 Cas notables

  • Une banque d’importance systémique mondiale (G-SIB) a exposé ses credentials cloud directement sur ses pages web, donnant accès à des bases de données et des systèmes de gestion de clés
  • Un développeur de firmware pour drones et appareils télécommandés a exposé des credentials de dépôt permettant potentiellement d’injecter du firmware malveillant

📁 Vecteurs d’exposition

  • 84 % des credentials trouvés dans des fichiers JavaScript
  • 8 % dans des fichiers HTML
  • 7 % dans des fichiers JSON
  • 62 % des expositions JavaScript proviennent de bundles Webpack
  • Cas atypique : un token GitHub valide intégré dans un fichier CSS

⏱️ Durée d’exposition

L’analyse historique montre que ces credentials restent exposés en moyenne 12 mois, parfois plusieurs années. Après notification des organisations concernées, le nombre de credentials exposés a diminué de moitié en deux semaines.

📌 Type d’article

Il s’agit d’un article de presse spécialisée relayant une publication de recherche académique. Son but principal est de documenter l’ampleur de l’exposition publique de credentials API sur le web en production.

🧠 TTPs et IOCs détectés

TTP

  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1078.004 — Valid Accounts: Cloud Accounts (Defense Evasion)

Malware / Outils

  • TruffleHog (tool)
  • Webpack (tool)

🔗 Source originale : https://www.theregister.com/2026/03/27/security_boffins_harvest_bumper_crop/