« Il y a eu plusieurs cas dans le passé où des chercheurs ont trouvé des clés et des secrets codés dans des images de base. Docker Hub est un dépôt open source populaire pour les images de conteneurs, largement adopté dans le cycle de développement. Analyser ces dépôts pour trouver des secrets n’est pas nouveau. En fait, en 2021, Aqua Security a découvert une infrastructure de 23 images de conteneurs stockées dans Docker Hub comprenant des applications potentiellement indésirables (PUA) cachées dans leurs couches d’images ou téléchargées dans leur conteneur instancié pendant l’exécution.

L’accès à des secrets et à des clés privées non autorisés a d’énormes conséquences. S’il est compromis, il pourrait entraîner une exposition des données des clients, une altération potentielle et des attaques par déni de service. Bon nombre de ces images compromises peuvent donner un accès direct à des services essentiels qui contiennent également des données commerciales précieuses. Selon le rapport, 22082 certificats TLS compromis s’appuyant sur des clés privées exposées ont été trouvés. C’est une énorme préoccupation car ces identités de machines sont utilisées pour permettre la communication entre les charges de travail, les services, les serveurs physiques, etc. Le coût pour révoquer l’autorité de certification et de réémettre ces identités est énorme, compte tenu des applications qui les utilisent et qui s’étendent largement (IOT, bases de données, SIP, courriel, SSH, grappes Kubernetes).

En fin de compte, la fabrication de certificats CA ou de certificats d’entité finale dans une image est une recette pour le désastre. Pour éviter que ces images ne soient compromises, les organisations devraient envisager d’injecter des identités de machines dans les charges de travail juste à temps pour la charge de travail qui en a besoin. Quand une charge de travail est détruite, tout le matériel clé est détruit avec elle. De plus, chaque image de conteneur devrait avoir une signature numérique pour assurer son authenticité et son intégrité. Cependant, pour ce faire, l’automatisation est essentielle. Les organisations doivent mettre en œuvre des contrôles de sécurité très solides pour protéger les identités des machines, en veillant à ce que les développeurs soient équipés de l’automatisation et des processus clairs nécessaires pour intégrer les contrôles de sécurité et de vulnérabilité. La meilleure façon d’y parvenir est de mettre en œuvre un plan de contrôle qui automatise la gestion des identités des machines tout au long de leur cycle de vie – de l’application des politiques et de la gouvernance sur les identités utilisées à la révocation et au remplacement des identités des machines au besoin. »