Netcrook Logo
👤 GHOSTCOMPLY
🗓️ 26 Nov 2025  

Copier, Coller, Catastrophe : Comment des outils de codage innocents sont devenus des mines d’or pour les fuites de données

Des chercheurs en sécurité révèlent que des milliers de mots de passe et de secrets sensibles sont exposés via des sites populaires de formatage de code en ligne, mettant en danger des secteurs entiers.

En Bref

  • Plus de 80 000 soumissions sensibles trouvées sur des outils publics de formatage de code comme jsonformatter.org et codebeautify.org.
  • Les données divulguées incluent des mots de passe, des clés API, des profils bancaires KYC et des scripts de systèmes gouvernementaux.
  • Des secrets provenant de banques, de gouvernements, de sociétés de cybersécurité et même de bourses ont été exposés.
  • Des attaquants scrutent activement ces sites, exploitant des formats de liens prévisibles et des pages publiques de « Liens récents ».
  • Les notifications de sécurité envoyées aux organisations concernées ont souvent été ignorées ou sont restées sans réponse.

Les dangers cachés de la commodité du code

Imaginez vos clés de maison accrochées sur un panneau d’affichage public, simplement parce que vous vouliez ranger votre porte-clés. C’est essentiellement ce qui se passe dans le monde numérique : des développeurs, pressés par le temps, collent des données sensibles dans des outils en ligne qui rendent le code illisible plus lisible. Ces outils - conçus pour la commodité - deviennent discrètement des trésors pour les cybercriminels.

WatchTowr Labs, un groupe de recherche en cybersécurité, a récemment mis en lumière ce phénomène obscur. En scannant les pages publiques de « Liens récents » sur des sites comme jsonformatter.org, ils ont découvert un volume stupéfiant de secrets divulgués : mots de passe, clés cloud, dossiers clients et scripts confidentiels. Les chercheurs n’ont eu besoin de pirater quoi que ce soit ; les données étaient en accès libre, accessibles via de simples requêtes web à des adresses prévisibles.

D’erreurs innocentes à un risque à l’échelle de l’industrie

Le problème n’est pas nouveau, mais il s’aggrave. Depuis des années, la communauté de la cybersécurité alerte sur les dangers de copier-coller des informations sensibles dans des outils en ligne. En 2017, des fuites similaires ont été découvertes via des services de type pastebin, et en 2021, des dépôts GitHub mal configurés ont fait la une pour avoir exposé des clés API. Ce qui rend la vague actuelle alarmante, c’est l’ampleur et la diversité des victimes : banques, bourses, agences gouvernementales, et même des fournisseurs de cybersécurité eux-mêmes.

La technique est simple. Les formateurs en ligne permettent souvent aux utilisateurs de « sauvegarder » leur travail, générant un lien public à partager. Beaucoup gardent aussi une page « Liens récents », listant tous les derniers téléchargements - parfois des centaines de milliers, remontant à plusieurs années. En combinant ces listes publiques avec un peu d’automatisation, des chercheurs (et, plus inquiétant, des criminels) peuvent récolter d’énormes quantités de données confidentielles. Un test a même montré que de fausses identifiants placés par WatchTowr ont été consultés par des inconnus en moins de 48 heures, prouvant que des acteurs malveillants surveillent.

Enjeux mondiaux : l’effet domino de la chaîne d’approvisionnement

Les implications vont bien au-delà des entreprises individuelles. Lorsqu’un fournisseur de sécurité gérée divulgue les identifiants d’un client, ou qu’une agence gouvernementale expose des scripts internes, le rayon d’impact peut toucher des secteurs entiers. Les attaquants peuvent utiliser ces secrets pour se déplacer latéralement - passant d’une entreprise à ses partenaires, ou d’un environnement de test compromis à des systèmes de production réels. Avec la chaîne d’approvisionnement mondiale déjà sous pression à cause des ransomwares et des hackers soutenus par des États, ces fuites accidentelles reviennent à laisser les portes de l’entrepôt grandes ouvertes.

L’impact sur le marché est réel : les fuites peuvent entraîner des amendes réglementaires, éroder la confiance du public, voire perturber des infrastructures critiques. Sur le plan géopolitique, des adversaires pourraient exploiter ces expositions pour l’espionnage ou le sabotage, surtout lorsqu’il s’agit de secrets gouvernementaux ou financiers.

La leçon est claire : la commodité peut coûter cher. Les développeurs doivent considérer les outils en ligne comme des espaces publics, et ne jamais y coller quoi que ce soit qu’ils ne publieraient pas sur un panneau d’affichage. Les organisations doivent appliquer des politiques strictes de gestion des données, et les fournisseurs d’outils doivent repenser leurs paramètres par défaut - désactiver les liens publics, définir des expirations automatiques et avertir les utilisateurs des risques. Dans un monde numérique au bord du gouffre, parfois les plus petits raccourcis peuvent ouvrir les plus grandes portes à la catastrophe.

WIKICROOK

  • Clé API : Une clé API est un code unique qui permet à des programmes d’accéder à des données ou des services. Si elle n’est pas correctement sécurisée, elle peut représenter un risque pour la cybersécurité.
  • PII (Informations personnelles identifiables) : Les PII sont toutes les informations permettant d’identifier une personne, comme un nom, une adresse ou un numéro de sécurité sociale, et doivent être protégées pour garantir la vie privée.
  • Identifiants cloud : Les identifiants cloud sont des noms d’utilisateur, mots de passe ou clés donnant accès à des services et ressources cloud, comme AWS ou Google Cloud.
  • Attaque de la chaîne d’approvisionnement : Une attaque de la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou de matériels de confiance, propageant des malwares ou des vulnérabilités à de nombreuses organisations en même temps.
  • Formateur JSON : Un formateur JSON est un outil qui organise les données JSON brutes dans un format lisible, facilitant la compréhension et le débogage, mais il ne faut pas l’utiliser pour des données sensibles.
Data Leaks Cybersecurity Risks Online Tools
GHOSTCOMPLY GHOSTCOMPLY
Compliance & Legal-Tech Advisor
← Back to news