Un chercheur indépendant, Mossab Hussein, aurait découvert des dizaines de fichiers exposés dans un GitLab utilisé par des employés de Samsung. Ces documents comprendraient du code source sensible, des identifiants, ainsi que des clés secrètes concernant plusieurs projets internes. Les fichiers en question étaient en mode « public » sur la plateforme, sans aucune protection par mot de passe, ou autre type d’authentification.

Parmi les lignes de code source on retrouve des projets comme la plateforme SmartThings ou encore le service Bixby. De plus, des informations de connexion au compte AWS (Amazon Web Services), ainsi que des tokens GitLab permettant à certains employés un accès supplémentaire, font aussi partie de la trouvaille.

Immédiatement, le géant coréen a révoqué l’accès des clés et identifiants en question à tout le réseau de l’entreprise, confirme un porte-parole à TechCrunch. Mossab Hussein indique que ce n’est pas la première fois qu’il alerte Samsung. Déjà, le 10 avril dernier, le chercheur avait averti le constructeur asiatique de l’existence de clés de sécurité en accès libre. L’entreprise coréenne avait mis 20 jours pour réagir. Le chercheur explique à TechCrunch que ce laxisme aurait pu entraîner des conséquences bien plus graves. « La véritable menace réside dans la possibilité qu’une personne acquiert ce niveau d’accès au code source de l’application et y injecte un code malveillant à l’insu de l’entreprise », explique-t-il.

Dernièrement, un cas similaire a frappé Asus. Alors qu’un chercheur en sécurité avait averti l’entreprise en amont, l’entreprise a laissé traîner, pour finalement causer le piratage de milliers d’ordinateurs de le marque. Pour le moment, Samsung n’a remarqué aucun fichier altéré. Toutefois, n’importe quelle entreprise d’une telle envergure s’expose à des conséquences désastreuses en minimisant ce type d’avertissements. Mossab Hussein estime qu’une telle erreur doit même pouvoir être évitée assez facilement, avec un peu plus de rigueur.