Articles / 28 minutes. Zéro CVE. Accès total.

28 minutes. Zéro CVE. Accès total.

ump — Un mot de passe pourri recent 2026-05-12 · Voir sur Substack ↗

Image extraite du Substack
Image qui sera attachée aux posts (selon les formats configurés sur le compte) https://substackcdn.com/image/fetch/$s_!Y-kG!,w_1456,c_limit,f_auto,q_auto:good,…
← Retour
📢 Tweet Teaser pending review
221 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Infostealer log → credential stuffing → GitLab sans MFA → 47 repos clients. 28 minutes. Pas de CVE. Juste un pattern de réutilisation mot de passe. https://unmotdepassepourri.substack.com/p/28-minutes-zero-cve-acces-total

📅 23/07 à 19h57 dans 60j
🧵 Thread pending review
1458 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ Stealer log d'un dev. On trouve une URL GitLab interne + login/pass. Première tentative : échec. Le mot de passe a changé. La plupart des scripts s'arrêtent là. Mais l'humain, lui, continue.

2/8

2/ Dans le même log : 20+ credentials accumulés sur des années. Pattern visible : Sangoku972!, sangoku978!, variations incrémentales. Réutilisation évidente entre perso et pro.

3/8

3/ Test systématique des variantes sur le GitLab. Sangoku972! → échec. Puis le mot de passe Outlook 2021 : valide sur GitLab 2026. Password rotation ne change rien si le pattern reste identique.

4/8

4/ Aucun MFA activé sur l'instance. GitLab supporte TOTP/WebAuthn natif, mais rien n'était obligatoire. Connexion directe au dashboard. Le compte est Owner sur plusieurs groupes.

5/8

5/ 47 dépôts accessibles en lecture/écriture. Dans l'historique Git : JWT secrets, clés SSH prod, credentials PostgreSQL, tokens Docker, .env complets. Même supprimés, ils restent dans l'historique.

6/8

6/ Avec ces secrets : forger des tokens JWT valides, accéder aux serveurs via SSH, modifier les BDD clients directement. Pas besoin d'exploit. La compromission est totale. Durée : 28 minutes.

7/8

7/ Infostealers + réutilisation de patterns + absence de MFA = compromission silencieuse d'infra. Les logs circulent sur Telegram, les marchés, les forums. Vos devs sont peut-être déjà dedans.

8/8

8/ Détails complets de la chaîne d'attaque ici : https://unmotdepassepourri.substack.com/p/28-minutes-zero-cve-acces-total

📅 29/07 à 12h44 dans 66j
💡 Standalone #1 pending review
203 chars
Sans lien · Matin 7h30–9h · 70% du mix

28 minutes pour compromettre 47 repos GitLab. Pas de CVE. Juste un infostealer log, du credential stuffing, et l'absence de MFA obligatoire. Les secrets dormaient dans l'historique Git depuis des années.

📅 27/07 à 08h27 dans 64j
💬 Standalone #2 pending review
222 chars
Sans lien · Matin 7h30–9h · 70% du mix

Les infostealers ne volent pas "que" des credentials. Ils révèlent les patterns de réutilisation. Sangoku972!, Sangoku978! → même base, même user, même infra. Password rotation ne change rien si la logique reste identique.

📅 31/07 à 08h06 dans 68j
🔥 Provoc pending review
187 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Votre GitLab autorise la connexion sans MFA ? Vos devs sont peut-être déjà dans un stealer log qui circule sur Telegram. Et leurs mots de passe Outlook 2021 fonctionnent toujours en 2026.

📅 03/08 à 19h11 dans 71j