Conférence leHACK 2024 – Supply Chain Attack : le cas du Registre Privé Docker
Le vendredi 5 juillet 2024 à 18:00, j'ai eu l'opportunité de participer à la conférence leHACK à Paris. Lors de cet événement, j'ai présenté un sujet de recherche intitulé "Supply Chain Attack : le cas du Registre privé Docker".
Docker est aujourd’hui un outil de conteneurisation incontournable, largement adopté dans le développement logiciel. Cette expansion a souligné l’importance de sécuriser tous les composants associés, comme le registre privé Docker. Alternative au Docker Hub public, c’est une plateforme open source où les développeurs peuvent stocker, gérer et distribuer leurs applications localement.
Hélas, la documentation officielle et de nombreux articles en ligne ne sensibilisent pas suffisamment les utilisateurs à la nécessité de sécuriser le registre dès sa mise en place. En effet, sa configuration par défaut est vulnérable, car elle permet notamment un accès anonyme sans contrôle d’accès. Cette étude expose donc une Supply Chain Attack qui vise une application hébergée sur un registre privé Docker, dans le but de compromettre son cycle de développement. Enfin, des contre-mesures seront présentées pour atténuer cette menace.
Points clés abordés (TLDR)
À l'occasion de cette présentation effectuée lors de la conférence leHACK, voici les points clés abordés :
- Définition de certains termes : Qu'est-ce qu'une Supply Chain Attack ? Un registre privée docker, pourquoi s'y intéresser ?
- Cas spécifique des registres Docker : Pourquoi les registres privés Docker sont particulièrement vulnérables ?
- Techniques d'attaques (deux scénarios) :
- Vol et revue du code source d’une image
- Falsification d’une image du registre
- Repose sur un défaut de configuration initiale (accès anonyme ou rejeu de mots de passe)
- Attaque furtive
- Objectif : Impacter le cycle de développement d’applications conteneurisées avec Docker
- Recommandation (3 grands axes + durcissement) :
- Authentification
- Basique : HTTP Basic Access Authentication
- Forte : OAuth
- Réseau
- Cloisonnement réseau du registre : pour interdire l'accès à celui-ci à des personnes non autorisées
- Applicatif
- Signer numériquement les images (Docker Content Trust, Notary)
- Durcissement
- Linter de Dockerfile / docker-compose.yml (hadolint)
- Analyser statiquement les images (Trivy, Clair)
- Vérifier la configuration d’un hôte Docker (Docker Bench for Security)
- Référentiel (OWASP Docker Top 10)
- Authentification
Si vous souhaitez plus d'informations sur cette présentation, vous pouvez consulter ce repository GitHub qui contient les slides de la présentation avec toutes ces annexes : Le Hack 2024 - Supply Chain Attack : le cas du Registre privé Docker
Conclusion
Je tiens à remercier chaleureusement toutes les personnes qui m'ont aidé à réaliser ce projet au sein d'Orange Cyberdefense. Leur soutien et leurs conseils ont été précieux tout au long de ce projet.
Participer à une conférence comme leHACK est extrêmement enrichissant. Cela permet non seulement de partager ses connaissances et ses recherches avec une communauté de professionnels/passionnés, mais aussi d'apprendre des autres intervenants et participants. Enfin, je remercie toutes les personnes qui ont pris le temps de me faire un retour, que ce soit par message privé ou directement sur place. Vos commentaires positifs sur ma présentation ont été très encourageants et je suis ravi d'avoir pu partager un sujet qui vous a intéressé !
