Perforce Helix Core : configurations par défaut non sécurisées exposent 6 100 serveurs publics
🔍 Contexte Publié en avril 2026 sur morganrobertson.net, cet article de recherche en sécurité documente une investigation menée entre mars et mai 2025 sur les instances Perforce Helix Core (P4) accessibles publiquement sur Internet. Le chercheur a identifié 6 121 instances contactables présentant des failles critiques liées aux configurations par défaut non sécurisées. 📊 Statistiques d’exposition 72% des serveurs autorisent un accès en lecture aux fichiers internes 21% (1 334 serveurs) permettent un accès en lecture/écriture 4% (223 serveurs) disposent de comptes « super » non sécurisés permettant une compromission complète via injection de commandes (RCE) 32% des serveurs sous licence (268/829) présentent une configuration non sécurisée 🛠️ Misconfigurations identifiées Création automatique de comptes utilisateurs (dm.user.noautocreate non configuré) Listage d’utilisateurs non authentifié — permet l’énumération et le brute-force Comptes sans mot de passe — accès direct en usurpant l’identité d’un utilisateur Auto-définition du mot de passe initial — permet à un attaquant de s’approprier un compte inactif Synchronisation non authentifiée via Remote Depot — l’utilisateur caché remote (activé par défaut jusqu’à la version 2025.1) permet la lecture de tous les fichiers sans authentification si le niveau de sécurité est ≤ 3 💥 Impact et vecteurs d’attaque Exfiltration de code source : dépôts de jeux AAA, logiciels médicaux, bancaires, gouvernementaux, automobiles RCE via triggers P4 : un compte super sans mot de passe permet d’injecter des scripts exécutés côté serveur Mouvement latéral : présence de certificats PEM, clés privées, fichiers .env, configurations Okta/SAML dans des dépôts exposés Attaques supply chain : un seul serveur vendeur exposait le code source de dizaines de clients en aval 🏭 Secteurs impactés Jeux vidéo (AAA, indie), santé/dispositifs médicaux, services financiers (core banking, PoS), gouvernement/défense, automobile (ECU, schémas électriques), éducation, industrie/ICS, Web3/crypto, aérospatiale, VFX/animation. ...