La CISA, gardienne de la cybersécurité fédérale américaine, a exposé ses propres identifiants cloud sur un dépôt public pendant six mois. Il a fallu qu'un chercheur français intervienne pour que quelqu'un s'en aperçoive.
Le 15 mai, Guillaume Valadon, chercheur chez GitGuardian (une startup parisienne spécialisée dans la détection de secrets dans le code), a contacté le journaliste Brian Krebs après avoir repéré un dépôt GitHub public au nom pour le moins paradoxal : « Private-CISA ». À l'intérieur, des dizaines d'identifiants en clair donnant accès aux systèmes internes de la Cybersecurity & Infrastructure Security Agency, l'agence fédérale censée protéger les infrastructures critiques des États-Unis. Le dépôt existait depuis le 13 novembre 2025, soit plus de six mois d'exposition sans que personne, côté américain, ne remarque quoi que ce soit.
Un dépôt « privé » ouvert à tous les vents
Parmi les fichiers exposés, un document sobrement intitulé « importantAWStokens » contenait les identifiants administratifs de trois comptes AWS GovCloud, l'infrastructure cloud réservée aux agences gouvernementales américaines. Un autre fichier, « AWS-Workspace-Firefox-Passwords.csv », listait en clair les mots de passe de dizaines de systèmes internes de la CISA, dont un environnement baptisé « LZ-DSO » (pour Landing Zone DevSecOps, la plateforme de développement sécurisé de l'agence). Philippe Caturegli, fondateur du cabinet Seralys, a confirmé que les clés AWS étaient toujours valides au moment de la découverte et permettaient un accès à privilèges élevés.
Le propriétaire du dépôt était un prestataire employé par Nightwing, un sous-traitant basé en Virginie. Le détail qui pique : l'historique des commits montre que cet administrateur avait volontairement désactivé la détection de secrets intégrée à GitHub, le mécanisme qui aurait dû bloquer automatiquement la publication d'identifiants sensibles. Les mots de passe eux-mêmes relevaient d'un autre registre de créativité (le nom de la plateforme suivi de l'année en cours, pour une bonne partie d'entre eux). Après notification par Krebs et Seralys, la CISA a fini par supprimer le dépôt, mais les clés AWS sont restées valides pendant encore 48 heures.
Quand Paris fait le travail que Washington ne fait plus
GitGuardian n'en est pas à son coup d'essai. La startup, fondée en 2017 et installée à Paris, scanne en permanence les dépôts publics à la recherche de secrets exposés. En février 2026, elle a bouclé une série C de 50 millions de dollars (portant ses levées cumulées à 106 millions), signe que le marché de la détection de fuites de code prend de l'ampleur. Guillaume Valadon n'a d'ailleurs pas caché sa stupéfaction dans un échange avec Krebs, confiant qu'il avait d'abord cru à un faux tellement le niveau de négligence lui semblait improbable.
Cette fuite arrive dans un contexte particulier. Depuis le début de l'administration Trump 2, la CISA a perdu environ un tiers de ses effectifs, passant de quelque 3 700 agents début 2025 à environ 2 200. Le budget fédéral 2026 prévoyait déjà une réduction à 2 649 postes. Philippe Caturegli soupçonne que le prestataire utilisait ce dépôt GitHub pour synchroniser ses fichiers entre un ordinateur professionnel et un ordinateur personnel, une pratique qui, dans n'importe quelle entreprise privée, vaudrait un licenciement immédiat. Chez l'agence chargée de dicter les bonnes pratiques de cybersécurité au reste du monde, c'est passé inaperçu pendant six mois.
La CISA a déclaré dans un communiqué qu'il n'y avait « aucune indication que des données sensibles aient été compromises ». Pour une agence dont la mission est d'anticiper les menaces, découvrir le problème après un chercheur parisien et un journaliste indépendant n'est peut-être pas le meilleur argument.
