🔍 Contexte

Source : KrebsOnSecurity, publié le 18 mai 2026. L’article rapporte la découverte et la divulgation responsable d’une fuite massive de données sensibles de la CISA (Cybersecurity & Infrastructure Security Agency) via un dépôt GitHub public maintenu par un contractant de la société Nightwing, basée à Dulles, Virginie.

📁 Nature de l’exposition

Le dépôt GitHub nommé “Private-CISA” a été créé le 13 novembre 2025 et contenait :

  • Des clés administratives AWS GovCloud pour trois serveurs (fichier importantAWStokens)
  • Un fichier AWS-Workspace-Firefox-Passwords.csv avec des identifiants en clair pour des dizaines de systèmes internes CISA
  • Des credentials pour le système “LZ-DSO” (Landing Zone DevSecOps), l’environnement de développement sécurisé de l’agence
  • Des credentials pour l’Artifactory interne (dépôt de packages logiciels)
  • Des logs, tokens, sauvegardes et autres assets sensibles
  • Des mots de passe faibles suivant le schéma [nom_plateforme][année_courante]

🚨 Découverte et validation

La fuite a été détectée par Guillaume Valadon (chercheur chez GitGuardian), dont la plateforme scanne en continu les dépôts publics à la recherche de secrets exposés. Philippe Caturegli (fondateur de Seralys) a validé que les credentials AWS permettaient une authentification à haut niveau de privilège sur trois comptes AWS GovCloud.

Le dépôt a été retiré peu après la notification de CISA par KrebsOnSecurity et Seralys. Cependant, les clés AWS sont restées valides pendant 48 heures supplémentaires après la suppression du dépôt.

⚙️ Facteurs aggravants

  • Le contractant a désactivé délibérément la fonctionnalité de détection de secrets de GitHub (activée par défaut)
  • Le dépôt semble avoir été utilisé comme mécanisme de synchronisation entre un ordinateur professionnel et personnel
  • L’Artifactory exposé représente un vecteur de mouvement latéral critique : un attaquant pourrait y injecter des backdoors dans les packages logiciels déployés par la CISA
  • Utilisation d’une adresse email CISA et d’une adresse personnelle sur le même compte GitHub

🏛️ Réponse institutionnelle

La CISA a déclaré être au courant et investiguer, affirmant qu’aucune donnée sensible ne semble avoir été compromise. Nightwing a refusé de commenter. Le contexte organisationnel est aggravé par la perte d’un tiers des effectifs de la CISA depuis le début de la seconde administration Trump.

📰 Type d’article

Il s’agit d’une annonce d’incident à visée informationnelle, documentant une fuite de données gouvernementales critiques découverte par des chercheurs externes et notifiée à l’agence concernée.

🧠 TTPs et IOCs détectés

TTP

  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1213 — Data from Information Repositories (Collection)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1083 — File and Directory Discovery (Discovery)

IOC

  • Fichiers : importantAWStokens
  • Fichiers : AWS-Workspace-Firefox-Passwords.csv

🟢 Indice de vérification factuelle : 66/100 (haute)

  • ✅ krebsonsecurity.com — source reconnue (liste interne) (20pts)
  • ✅ 26112 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/