Il y a déjà 2 mois, un chercheur en sécurité a averti Asus que des employés publiaient sans raison des mots de passe dans leur dépôt d’archives GitHub. Certains pouvaient être utilisés pour accéder au réseau interne de l’entreprise.

Un mot de passe trouvé dans un dépôt GitHub permet au chercheur d’accéder à un compte de messagerie utilisé par des développeurs et ingénieurs en interne. Sur ce compte, le chercheur met la main sur des informations concernant des versions dark mode pour certaines applications. Plus inquiétant encore, plusieurs outils évoquant les propriétaires d’ordinateurs figurent dans ces échanges de mails. « Il s’agissait d’une boîte de messagerie où des versions automatisées étaient envoyées quotidiennement » déclare le chercheur à TechCrunch. Il précise qu’il n’a pas testé jusqu’où il aurait pu aller avec cet accès, mais il reste persuadé qu’il aurait facilement pu se connecter au réseau interne d’Asus.

Le dépôt en question appartenait à un ingénieur de l’entreprise, qui a rendu public des mots de passe pendant plus d’un an. Depuis, ce dépôt a été supprimé par Asus, même si le compte GitHub existe encore.

Malgré ce laxisme de la part d’Asus, les découvertes du chercheur n’auraient pas pu stopper les hackers qui ont frappé la firme taïwanaise avec un cheval de Troie installé au sein du logiciel de mise à jour Asus Live Update. Kaspersky, la société de sécurité russe à l’origine de cette alerte, a publié son rapport le 31 janvier. Le chercheur, quant à lui divulguait ses informations le 1er février.

Depuis, Asus a confirmé l’attaque depuis son blog. Par la suite, l’entreprise publie une version corrigée du logiciel infecté.