Vous passez vos journées à faire des aws iam list-users | jq '.Users[]' et autres trucs interminables pour juste trouver une info ?? Laissez tomber, j'ai le truc qui va vous changer la vie !

Ça s'appelle Sisu et c'est un petit outil en Go qui monte vos ressources AWS comme un système de fichiers local. Du coup, au lieu de taper des commandes AWS complexes, vous utilisez juste grep, cat, diff, vim... c'est à dire les outils Unix que vous connaissez déjà par cœur.

Vous lancez la commande sisu et hop, vos ressources AWS se retrouvent montées dans ~/.sisu/mnt/ ! Vos buckets S3, vos paramètres SSM, vos roles IAM, vos lambdas, vos instances EC2...etc. Tout ça organisé en dossiers par profil AWS et par région.

Ainsi, pour chercher tous vos utilisateurs IAM qui ont un accès admin, c'est aussi simple que :

grep -l "AdministratorAccess" */global/iam/users/*/policies.json

diff prod/global/iam/roles/api/info.json staging/global/iam/roles/api/info.json

go install github.com/semonte/sisu@latest

[Deal du jour] Il faut guetter les bonnes affaires avant Noël car c'est souvent le moment où des e-commerçants proposent des offres qui valent le coup, comme ce bundle de deux jeux pour moins de 25 €.

Si vous me lisez depuis longtemps, vous connaissez forcement le principe des honeypots. Si ce n’est pas le cas, je vous explique. Les honeypots, ce sont ces faux serveurs qu’on laisse traîner pour attirer les pirates afin de mieux étudier leurs techniques. Eh les honey tokens, c’est pareil mais en version credentials. En gros, ce sont des fausses clés AWS, des identifiants SSH bidons, des accès base de données qui n’existent pas… que vous planquez dans votre infra, et si quelqu’un les utilise, vous savez immédiatement que vous avez un problème.

DeceptIQ Starter vient donc de sortir une version gratuite de son service et c’est un outil qu’on devrait tous garder sous le coude. Ça permet de générer des tokens piégés que vous disséminez dans vos repos Git, vos fichiers de config, vos pipelines CI/CD… Et puis vous attendez. Et si un petit malin exfiltre ces credentials et essaie de les utiliser, vous recevez alors une alerte instantanée avec l’IP source, le timestamp, et tout le contexte qu’il faut.

L’astuce, c’est que ça exploite un truc fondamental dans le comportement des attaquants. Quand ils tombent sur une clé AWS dans un repo, leur réflexe c’est de la tester. Ils voient un pattern familier, genre AKIA-quelque-chose, et hop, validation automatique. Sauf que cette fois, c’est eux qui se font piéger…

La version gratuite propose 4 types de tokens : clés AWS IAM (jusqu’à 10), clés AWS Bedrock pour les services IA (2 max), accès S3 (2), et clés SSH (20). C’est pas mal pour commencer et couvrir les cas d’usage les plus courants. Et les tokens pro débloquent des trucs plus exotiques comme les credentials Azure, les API keys CrowdStrike, ou les users MySQL/PostgreSQL.

L’avantage par rapport à un honeypot classique, c’est qu’il n’y a aucun faux positif possible. Si quelqu’un utilise une de ces credentials, c’est forcément suspect puisque normalement, personne ne devrait les utiliser.

Après un attaquant peut très bien pénétrer votre système sans jamais toucher à vos tokens piégés mais ça reste un excellent filet de sécurité supplémentaire. Et combiné avec vos autres outils de détection, ça peut faire la différence entre découvrir une intrusion en quelques minutes ou plusieurs mois après les faits.

Pour ceux qui veulent tester, c’est sur starter.deceptiq.com