https://cyberveille.ch/tags/p4ghost/ Recent content in P4GHOST on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Wed, 22 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-22-perforce-helix-core-configurations-par-defaut-non-securisees-exposent-6-100-serveurs-publics/ Wed, 22 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-22-perforce-helix-core-configurations-par-defaut-non-securisees-exposent-6-100-serveurs-publics/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié en avril 2026 sur morganrobertson.net, cet article de recherche en sécurité documente une investigation menée entre mars et mai 2025 sur les instances <strong>Perforce Helix Core (P4)</strong> accessibles publiquement sur Internet. Le chercheur a identifié <strong>6 121 instances contactables</strong> présentant des failles critiques liées aux <strong>configurations par défaut non sécurisées</strong>.</p> <h2 id="-statistiques-dexposition">📊 Statistiques d&rsquo;exposition</h2> <ul> <li><strong>72%</strong> des serveurs autorisent un accès en lecture aux fichiers internes</li> <li><strong>21%</strong> (1 334 serveurs) permettent un accès en <strong>lecture/écriture</strong></li> <li><strong>4%</strong> (223 serveurs) disposent de comptes « super » non sécurisés permettant une <strong>compromission complète via injection de commandes (RCE)</strong></li> <li><strong>32%</strong> des serveurs sous licence (268/829) présentent une configuration non sécurisée</li> </ul> <h2 id="-misconfigurations-identifiées">🛠️ Misconfigurations identifiées</h2> <ol> <li><strong>Création automatique de comptes utilisateurs</strong> (<code>dm.user.noautocreate</code> non configuré)</li> <li><strong>Listage d&rsquo;utilisateurs non authentifié</strong> — permet l&rsquo;énumération et le brute-force</li> <li><strong>Comptes sans mot de passe</strong> — accès direct en usurpant l&rsquo;identité d&rsquo;un utilisateur</li> <li><strong>Auto-définition du mot de passe initial</strong> — permet à un attaquant de s&rsquo;approprier un compte inactif</li> <li><strong>Synchronisation non authentifiée via Remote Depot</strong> — l&rsquo;utilisateur caché <code>remote</code> (activé par défaut jusqu&rsquo;à la version 2025.1) permet la lecture de tous les fichiers sans authentification si le niveau de sécurité est ≤ 3</li> </ol> <h2 id="-impact-et-vecteurs-dattaque">💥 Impact et vecteurs d&rsquo;attaque</h2> <ul> <li><strong>Exfiltration de code source</strong> : dépôts de jeux AAA, logiciels médicaux, bancaires, gouvernementaux, automobiles</li> <li><strong>RCE via triggers P4</strong> : un compte super sans mot de passe permet d&rsquo;injecter des scripts exécutés côté serveur</li> <li><strong>Mouvement latéral</strong> : présence de certificats PEM, clés privées, fichiers <code>.env</code>, configurations Okta/SAML dans des dépôts exposés</li> <li><strong>Attaques supply chain</strong> : un seul serveur vendeur exposait le code source de dizaines de clients en aval</li> </ul> <h2 id="-secteurs-impactés">🏭 Secteurs impactés</h2> <p>Jeux vidéo (AAA, indie), santé/dispositifs médicaux, services financiers (core banking, PoS), gouvernement/défense, automobile (ECU, schémas électriques), éducation, industrie/ICS, Web3/crypto, aérospatiale, VFX/animation.</p>