Récemment, des chercheurs en sécurité ont détecté un échec de bon sens avec des conséquences réelles : les applications Web conçues pour la formation et les tests - comme DVWA, OWASP Juice Shop, Hackazon ou bWAPP - étaient accessibles depuis Internet sur des comptes cloud avec des privilèges élevés, et les attaquants en ont rapidement profité. Ce qui est utilisé dans de nombreuses équipes pour enseigner les techniques de piratage ou les contrôles de validation a été exposé comme une porte arrière aux environnements productifs chez des fournisseurs tels que AWS, Google Cloud et Azure.
La découverte, documentée par les laboratoires de Pentera et recueillie par des moyens spécialisés, révèle qu'il y avait des centaines et des centaines de cas vivants de ces applications délibérément vulnérables publiées sur le réseau public. Selon les données de l'enquête, ils étaient situés près de 1 926 applications d ' essai exposées, et une proportion importante d'entre eux ont annoncé des références nuageuses ou ont été accompagnés de rôles avec des privilèges excessifs, enfreignant la règle de base de « privilège mineur ». Vous pouvez consulter le travail des chercheurs sur la page des laboratoires de Pentera : Pentera Labs et le suivi journalistique Calculateur.
Ce n'est pas la théorie : les analystes ont trouvé des preuves d'exploitation active. Dans de nombreux cas, ils ont vérifié des artefacts malveillants - des mineurs de cryptomoneda aux webshells - qui ont démontré un engagement réel. Dans l'ensemble des instances DVWA analysées, par exemple, environ 20% contiennent des traces d'activité malveillante. Les attaquants ont utilisé des outils comme XMRig pour miner Monero, et ont déployé des mécanismes pour rester dans les machines touchées, y compris un script de persistance qui s'est restauré et téléchargé la mine des dépôts publics. Le projet XMRig est documenté publiquement dans son dépôt : XMRig dans GitHub.
En plus de l'exploitation minière, les incidents documentés comprenaient l'installation d'une webshell PHP appelée filemanager. php qui permettait de lire, écrire, supprimer, télécharger et exécuter des commandes sur le système. Le code webshell conservait des références en relief et, curieusement, avait le fuseau horaire ajusté à l'Europe / Minsk, un détail que les chercheurs ont souligné comme preuve possible de l'origine des opérateurs.
Comment êtes-vous arrivé à ça ? Dans de nombreux cas, les applications de test ont été implémentées dans des comptes cloud associés à des rôles avec des permissions étendues, sans appliquer le principe de privilège mineur, et maintenu des pouvoirs par défaut ou sans rotation. En d'autres termes, trois erreurs classiques ont été combinées : exposer un environnement de test Internet, ne pas restreindre l'accès au cloud et ne pas gérer correctement les identifiants. Les références trouvées par les enquêteurs auraient pu permettre à un attaquant de lire et d'écrire dans des magasins d'objets tels que S3, GCS ou Azure Blob, d'accéder à des secrets gérés, d'interagir avec des dossiers de conteneurs ou même de grimper des administrateurs de comptes.
Les sociétés concernées identifiées dans l'étude comprennent des noms reconnus entre Fortune 500 et des fournisseurs de services de sécurité, qui ont été avisés et ont entrepris de remédier aux incidents après l'avis. L'épisode souligne que même les organisations ayant de bonnes pratiques sur de nombreux fronts peuvent tomber dans la gestion d'environnements non-productifs.
La leçon pratique est simple et urgente : les environnements d'essai doivent être traités avec au moins le même soin que les systèmes de production. Il s'agit de maintenir un inventaire complet des ressources dans le nuage - y compris les laboratoires, les démos et les machines de formation - et de les isoler des environnements critiques. Il est également essentiel d'appliquer des rôles avec des privilèges minimums, de modifier tout titre de créance par défaut et de définir des décisions automatiques pour les ressources temporaires. Les fournisseurs de cloud tiennent à jour des guides détaillés sur les bonnes pratiques de gestion de l'identité et l'accès qui devraient être suivis, comme la documentation AMI d'AWS : Bonne pratique de l'AMI (AWS), le guide Google Cloud IAM: IAM (Google Cloud) et ressources de contrôle d'accès en Azure: Azure Active Directory.
Pour ce qui est de la détection et de la réponse, il convient de surveiller les modèles d'abus typiques : utilisation inhabituelle du processeur et du réseau (qui peut signaler l'exploitation minière), téléchargements à partir de sites inhabituels (p. ex. dépôts publics ou services de stockage en nuage), création de processus persistants et présence de fichiers ou de scripts avec du contenu codé en base64. Il est également recommandé de vérifier l'accès aux gestionnaires secrets et aux dépôts d'images de conteneurs, et d'examiner le registre de configuration et de déploiement pour détecter les cas qui ne devraient pas être publics.
Si votre équipe maintient des environnements de test ou de formation, l'examen des modèles et des processus de déploiement est une priorité. Outils et projets conçus pour enseigner la sécurité DVWA, OWASP Magasin de jus ou bWAPP sont des ressources précieuses, mais son utilisation dans des environnements connectés à des comptes à haut niveau de privilège sans contrôle approprié fait d'un outil didactique un risque presque garanti.
L'histoire laisse aussi un plus grand avertissement : la sécurité n'est pas seulement la technologie, c'est la discipline opérationnelle. La tenue d'un inventaire, la mise en œuvre de politiques moins privilégiées, la rotation des pouvoirs, l'automatisation des décisions et le segmentage des réseaux et des comptes sont des contrôles de base qui, lorsqu'ils échouent, ont des conséquences tangibles. Pour approfondir la nature de ces menaces et les recherches qui sous-tendent la découverte, vous pouvez lire les documents publics des chercheurs et suivre la couverture spécialisée des médias technologiques fiables.
En fin de compte, la morale est claire : ne sous-estimez pas ce qu'une application "laboratoire" peut faire lorsqu'elle est combinée à un compte cloud avec des permissions excessives. Ce qui commence par un environnement de test peut finir par être le chemin d'entrée pour la crypte-min-, la persistance malveillante ou, pire, le saut vers des actifs sensibles de l'organisation.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...