IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une étude révèle que 10 millions de nouveaux secrets ont été exposés par les développeurs dans les commits publics sur GitHub en 2022,
Soit une augmentation de 67 % par rapport à 2021

Le , par Bill Fassinou

5PARTAGES

4  0 
GitGuardian, un spécialiste de la détection automatisée des secrets dans les référentiels de code, a publié mercredi la troisième édition de son rapport annuel "State of Secrets Sprawl" qu'elle décrit comme l'analyse la plus complète des secrets exposés sur GitHub et au-delà. Le rapport a révélé que 10 millions de nouveaux secrets ont été exposés dans les commits publics sur GitHub en 2022, soit une augmentation de 67 % par rapport à 2021. Il indique en outre que les secrets codés en dur et l'accélération de la prolifération des secrets (stockage des secrets à différents endroits) menacent la sécurité des chaînes d'approvisionnement en logiciels.

Les développeurs ont divulgué un nombre important de secrets d'entreprise en 2022

L'équipe d'experts de GitGuardian dit avoir scanné et analysé plus d'un milliard de nouveaux commits en 2022 (+20 % par rapport à 2021) pour découvrir les dernières tendances et identifier les défis les plus pressants auxquels sont confrontés les développeurs aujourd'hui. La principale question à laquelle l'équipe cherche à répondre chaque année est la suivante : combien de nouveaux secrets ont été révélés sur GitHub au cours de l'année précédente ? En effet, les secrets codés en dur posent des risques de sécurité importants, car ils sont souvent stockés en texte clair, ce qui permet aux acteurs malveillants de les extraire plus facilement du code source.

Les secrets peuvent également être divulgués ou exposés par inadvertance par le biais d'autres failles de sécurité telles que l'injection de code ou les fuites de données. Ainsi, la nouvelle version du rapport State of Secrets Sprawl a révélé que l'année 2022 a été particulièrement fuyante en ce qui concerne les secrets. Sur les 13,3 millions d'auteurs distincts ayant poussé du code sur GitHub en 2022, 1,35 million ont accidentellement exposé un secret et 5,5 commits sur 1 000 ont exposé au moins un secret, soit une augmentation de 50 % par rapport à 2021. GitGuardian a catégorisé deux types de spécifications de secrets : spécifiques et génériques.


Selon le rapport, les détecteurs spécifiques correspondent à des secrets reconnaissables tels que les clés d'accès AWS ou les identifiants de base de données MongoDB ; les secrets représentant 33 % des secrets détectés dans le cadre de la recherche. Les secrets génériques représentent 67 % des secrets détectés, les détecteurs génériques correspondant à des secrets tels que l'adresse électronique de la société et les mots de passe codés en dur dans un fichier. Les secrets les plus spécifiques détectés par l'équipe en 2022 sont des choses comme : google_api_key, private_key_rsa, private_key_generic, googlecloud_keys et postgresql_credentials.

Selon GitGuardian, les mots de passe, les secrets à haute entropie et les noms d'utilisateur/mots de passe sont les secrets génériques les plus trouvés. Le rapport cite des exemples récents de secrets divulgués qui ont été exploités dans des attaques contre Uber et CircleCI ; des dépôts de code source volés affectant des entreprises telles que LastPass, Microsoft, Okta et Samsung ; et des secrets exposés publiquement affectant Android, Toyota et Infosys. En septembre, un pirate s'est introduit chez Uber et a utilisé des identifiants d'administrateur codés en dur pour se connecter à Thycotic, la plateforme de gestion des accès privilégiés de l'entreprise.


Cela lui a permis de prendre le contrôle de plusieurs outils internes et applications de productivité. Plus de 80 % de tous les secrets détectés sur GitHub sont exposés via les dépôts personnels des développeurs, et une grande partie d'entre eux sont en fait des secrets d'entreprise. Plusieurs raisons peuvent expliquer ce phénomène. Bien sûr, les comportements malveillants peuvent être un facteur, notamment le détournement des ressources d'une entreprise et d'autres motifs louches. Cependant, l'ampleur du phénomène laisse entrevoir autre chose : la plupart de ces incidents sont dus à des erreurs humaines et à une mauvaise configuration.

« Si un collègue de la sécurité me disait que la détection des secrets n'est pas une priorité, je lui dirais que c'est une erreur. La plupart des gros problèmes de sécurité sont dus à des attaques d'ingénierie sociale ou à la falsification d'informations d'identification. Il est donc très important de savoir que vos ingénieurs et vos employés sont susceptibles de divulguer des secrets. C'est la vie. La plupart du temps, c'est dû à des erreurs. Cependant, si cela se produit, nous devons agir en conséquence. Plus il y a d'ingénieurs, plus la possibilité qu'il y ait des fuites augmente », a déclare Theo Cusnir, ingénieur en sécurité des applications chez PayFit.

La prolifération des secrets en dur menace la chaîne d'approvisionnement en logiciels

Selon le rapport, les secrets codés en dur et leur prolifération constituent des menaces importantes pour la sécurité des chaînes d'approvisionnement en logiciels. « Les secrets peuvent être dévoilés de plusieurs façons, et le code source est un actif qui peut rapidement être perdu au profit de sous-traitants et, bien sûr, du vol de code source. Les discussions et les activités relatives au partage de secrets d'API sur le dark Web sont également un problème croissant. Les discussions autour du vol et de la vente de clés d'API sont un phénomène relativement nouveau sur le darknet, et nous nous attendons à ce qu'elles continuent à se développer », note le rapport.


GitGuardian estime que les acteurs de la menace qui cherchent à faciliter la distribution plus large de logiciels malveillants par le biais de compromissions de la chaîne d'approvisionnement ont également discuté d'informations d'identification et de points de pivot provenant de référentiels ouverts. Il s'agit d'un problème important qui peut permettre un pirate d'utiliser ces informations pour se faire passer pour quelqu'un d'autre ou pour obtenir d'autres détails sensibles sur l'environnement. Les conséquences peuvent aller de résultats d'audit négatifs à la compromission complète de l'infrastructure et à l'exfiltration massive de données.

Aujourd'hui, il est courant que ces secrets se retrouvent dans des systèmes de contrôle du code source tels que Git, ce qui les expose potentiellement à un plus grand nombre de personnes, voire au grand public. GitGuardian explique que, comme beaucoup d'autres problèmes de sécurité, une mauvaise hygiène des secrets implique une combinaison de personnes, de processus et d'outils. Les organisations qui souhaitent maîtriser la prolifération des secrets doivent travailler simultanément sur tous ces fronts. Autrement dit, les entreprises doivent comprendre que le code source est l'un de leurs actifs les plus précieux et qu'il doit être protégé.


« La toute première étape consiste à obtenir un audit clair de la posture de sécurité de l'organisation en ce qui concerne les secrets : où et comment sont-ils utilisés ? Où fuient-ils ? Comment se préparer au pire ? Comme beaucoup d'autres problèmes de sécurité, une mauvaise hygiène en matière de secrets implique le trio habituel de personnes, de processus et d'outils. La détection et l'atténuation des secrets codés en dur peuvent être déplacées à différents niveaux pour construire une défense en profondeur tout au long du cycle de développement », note le rapport. Vous pouvez obtenir le rapport complet sur le site officiel de GitGuardian.

Les secrets, tokens, mots de passe et certificats sont de toutes formes et tailles, mais ce qu'ils ont en commun est leur capacité à passer inaperçus dans les revues de code manuelles et les contrôles de sécurité. Pour aider les organisations et les développeurs à protéger leurs secrets à atténuer la prolifération des secrets codés en dur, GitGuardian propose un outil qui permet aux équipes de sécurité de détecter automatiquement les secrets codés en dur et les vulnérabilités dans le cycle de développement des logiciels et d'y remédier. « Nous sommes l'allié des développeurs à chaque étape du cycle de vie du développement », affirme GitGuardian.

À propos de GitGuardian

GitGuardian est un spécialiste de la détection automatisée des secrets dans les référentiels de code. L'entreprise a été fondée en novembre 2017 par Éric Fourrier et Jérémy Thomas et est basée à Paris, en France. Elle propose un moteur de détection des secrets afin d'aider les organisations à détecter et à corriger les vulnérabilités dans le code source à chaque étape du cycle de vie du développement logiciel. « Grâce au moteur de politique de GitGuardian, les équipes de sécurité peuvent surveiller et appliquer des règles à travers leur VCS, les outils DevOps et les configurations de l'infrastructure en tant que code », affirme l'entreprise.

Le moteur de détection des secrets de GitGuardian supporte plus de 350 fournisseurs et toutes sortes d'identifiants génériques et l'entreprise indique qu'il peut même être étendu pour détecter des modèles personnalisés. Largement adopté par les développeurs, le moteur de détection des secrets de GitGuardian serait actuellement utilisé par plus de 300 000 développeurs et serait l'application numéro un dans la catégorie sécurité sur la place de marché GitHub. GitGuardian est également utilisé par des entreprises de premier plan, telles que Instacart, Snowflake, Orange, Iress, Mirantis, Maven Wave, PayFit et Bouygues Telecom.

« Notre mission est de sécuriser le code. Nous voulons le faire avec une approche transparente, simple et pragmatique en commençant par l'un des problèmes les plus importants de l'AppSec : les secrets dans le code », a déclaré Éric Fourrier, PDG de GitGuardian.

Source : le rapport State of Secrets Sprawl 2023 (PDF)

GitGuardian

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des conclusions du rapport de GitGuardian ?
Selon vous, pourquoi les développeurs laissent des secrets d'entreprise en clair dans les codes sources ?
Selon vous, pourquoi de plus en plus de secrets sont exposés chaque année malgré les menaces de piratage ?
Avez-vous une méthodologie pour empêcher la divulgation de secrets ? Ou utilisez-vous un outil spécifique ?
Que pensez-vous du moteur de détection automatisée des secrets de GitGuardian ?

Voir aussi

GitHub est une véritable mine d'or pour les cybercriminels, selon GitGuardian, qui a détecté plus de 2 millions de "secrets" sur la plateforme en 2020, en hausse de 20 %

Près de 200 Go de code source de Samsung et le code source de la dernière technologie DLSS de Nvidia ont été publiés en ligne par les pirates Lapsus$, GitGuardian a découvert 6 695 clés de Samsung

LastPass affirme que le piratage de l'ordinateur d'un ingénieur DevOps a conduit à la brèche dans la sécurité en 2022, et aurait rendu difficile la détection de l'activité de l'acteur de la menace

Une erreur dans cette actualité ? Signalez-nous-la !