Fuite massive de credentials AWS GovCloud CISA via un dépôt GitHub public d'un contractant

Thu, 21 May 2026 00:00:00 +0000

🔍 Contexte

Source : KrebsOnSecurity, publié le 18 mai 2026. L’article rapporte la découverte et la divulgation responsable d’une fuite massive de données sensibles de la CISA (Cybersecurity & Infrastructure Security Agency) via un dépôt GitHub public maintenu par un contractant de la société Nightwing, basée à Dulles, Virginie.

📁 Nature de l’exposition

Le dépôt GitHub nommé “Private-CISA” a été créé le 13 novembre 2025 et contenait :

Des clés administratives AWS GovCloud pour trois serveurs (fichier importantAWStokens)
Un fichier AWS-Workspace-Firefox-Passwords.csv avec des identifiants en clair pour des dizaines de systèmes internes CISA
Des credentials pour le système “LZ-DSO” (Landing Zone DevSecOps), l’environnement de développement sécurisé de l’agence
Des credentials pour l’Artifactory interne (dépôt de packages logiciels)
Des logs, tokens, sauvegardes et autres assets sensibles
Des mots de passe faibles suivant le schéma [nom_plateforme][année_courante]

🚨 Découverte et validation

La fuite a été détectée par Guillaume Valadon (chercheur chez GitGuardian), dont la plateforme scanne en continu les dépôts publics à la recherche de secrets exposés. Philippe Caturegli (fondateur de Seralys) a validé que les credentials AWS permettaient une authentification à haut niveau de privilège sur trois comptes AWS GovCloud.

GovCloud on CyberVeille

Fuite massive de credentials AWS GovCloud CISA via un dépôt GitHub public d'un contractant

🔍 Contexte

📁 Nature de l’exposition

🚨 Découverte et validation