Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

GitGuardian montre que plus de deux millions de secrets ont été détectés sur GitHub en 2020

mars 2021 par GitGuardian

GitGuardian, une start-up spécialisée dans la cybersécurité, publie les résultats de son rapport 2021 “State of Secrets Sprawl on GitHub". Le rapport, qui est basé sur la surveillance constante par GitGuardian de chaque commit poussé vers GitHub public, indique une croissance alarmante de 20 % d’une année sur l’autre du nombre de secrets trouvés. Un volume croissant de données sensibles, appelées secrets, tels que les clés API, les clés privées, les certificats, les noms d’utilisateur et les mots de passe, finit par être exposé publiquement sur GitHub. Ceci met en danger la sécurité des entreprises, car la grande majorité des organisations ignorent le problème ou sont mal équipées pour y faire face.

Selon le rapport, 15 % des fuites sur GitHub se produisent dans des dépôts publics appartenant à des organisations et 85 % des fuites se produisent dans les dépôts personnels des développeurs. Les secrets présents dans tous ces dépôts peuvent être soit personnels soit d’entreprise et c’est là que se situe le risque pour les organisations, car certains de leurs secrets d’entreprise sont exposés publiquement par l’intermédiaire des dépôts personnels de leurs développeurs en poste ou partis.

Types de secrets trouvés

27,6% Clés Google
15,9% Outils de développement (Django, RapidAPI, Okta,
15,4% Stockage de données (MySQL, Mongo, Postgres,...)
12% Autres (y compris CRM, Cryptos, fournisseurs d’identité, systèmes de paiement, surveillance)
11,1% Systèmes de messagerie (Discord, Sendgrid, Mailgun, Slack, Telegram, Twilio...)
8,4% Fournisseur de services dans le cloud (AWS, Azure, Google, Tencent, Alibaba...)
6,7% Clés privées
1,9% Réseaux sociaux
0,8% Plate-forme de contrôle de version (GitHub, GitLab)
0,4% Outils de collaboration (Asana, Atlassian, Jira, Trello, Zendesk...)

Top 10 des extensions de fichiers

Comme vous pouvez vous en douter, avec les nombreux langages de programmation, frameworks et pratiques de codage adoptés dans le monde entier, il existe une très longue liste d’extensions qui peuvent contenir des secrets : voici la vue du top 10.

 ? Les 10 premières extensions de fichiers représentent 81 % de tous les résultats,
_ ? Les trois premiers représentent plus de 56% des résultats

27,7% Python
18,7% Javascript
9,6% Fichier de type “environment variables”
7,5% JSON
4% Propriétés
3,6% PEM
3,2% PSP
2,7% YAML
2,2% XML
2% Typescript

GitHub est plus que jamais "The Place to Be" pour les développeurs lorsqu’il s’agit d’innover, de collaborer et de travailler en réseau. GitHub rassemble plus de 50 millions de développeurs travaillant sur leurs projets personnels et/ou professionnels. Lorsque 60 millions de dépôts sont créés en un an et que près de deux milliards de contributions sont ajoutées, certains risques apparaissent pour les entreprises, même si elles n’utilisent pas GitHub ou ne font pas d’open source, car leurs développeurs le font.

Alors que les architectures se déplacent vers le cloud et s’appuient davantage sur des composants et des applications, l’augmentation du nombre de commits et l’utilisation de certificats d’authentification numérique ont fait augmenter le nombre de secrets détectés. Pour aggraver le problème, les entreprises font pression pour raccourcir les cycles de release. Les développeurs doivent maîtriser de nombreuses technologies et la complexité de l’application des bonnes pratiques de sécurité augmente avec la taille de l’organisation, le nombre de dépôts, le nombre d’équipes de développeurs et leur répartition géographique.

Comme le dit Talend, un client de GitGuardian : "Nous avons lancé un audit en utilisant GitGuardian, et plusieurs fuites de secrets ont été portées à notre connaissance. Ce qui était très intéressant et que nous n’avions pas prévu, c’est que la plupart des alertes provenaient des dépôts de code personnels de nos développeurs " Anne Hardy - CISO Talend

Recommandations

Les entreprises ne peuvent pas éviter le risque d’exposition de leurs secrets même si elles mettent en place des systèmes centralisés de gestion des secrets. Des solutions sont à leur disposition pour automatiser la détection des secrets et mettre en place les mesures correctives appropriées, mais le marché est loin d’être mûr à ce sujet. "La réalité est que la plupart des organisations opèrent en aveugle. La plupart des fuites d’informations de type secrets des entreprises sur GitHub public se produisent sur les dépôts personnels des développeurs, où elles n’ont souvent aucune visibilité, et encore moins l’autorité nécessaire pour faire appliquer tout type de mesures de sécurité préventives". Jeremy Thomas, PDG de GitGuardian. Par ailleurs, les entreprises doivent scanner non seulement les dépôts publics mais aussi les dépôts privés pour empêcher les mouvements latéraux d’acteurs malveillants.

Certaines bonnes pratiques peuvent être suivies pour limiter le risque
d’exposition aux secrets ou l’impact d’une fuite de secrets :
_ ? Ne jamais stocker de secrets non chiffrés dans des dépôts .git
_ ? Ne partagez pas vos secrets en clair dans des systèmes de messagerie comme Slack
_ ? Stocker les secrets en toute sécurité
_ ? Restreindre l’accès et les autorisations d’API

Mais il ne suffit pas de les respecter et les entreprises doivent sécuriser le SDLC grâce à la détection automatisée des secrets.

Le choix d’une solution de détection des secrets doit prendre en compte :
_ ? La capacité à surveiller les dépôts personnels des développeurs
_ ? La performances en matière de détection des secrets - Précision, exactitude et rappel
_ ? La présence d’alerte en temps réel
_ ? L’intégration avec les workflow de remédiation
_ ? La collaboration aisée entre les équipes de développeurs, de réponse aux menaces et d’opérations.


Méthodologie

Le moteur de détection des secrets de GitGuardian est en production depuis 2017, analysant des milliards de commits provenant de GitHub. Dès le premier jour, GitGuardian a commencé à construire et à évaluer ses algorithmes en étudiant le code open source. Cela a permis à GitGuardian de construire un moteur de détection des secrets agnostique au langage, intégrant de nouveaux secrets ou de nouvelles façons de déclarer des secrets très rapidement tout en conservant un nombre de faux positifs très faible. GitGuardian a développé la plus vaste bibliothèque de détecteurs spécifiques, capable de détecter plus de 200 types de secrets différents.


Voir les articles précédents

    

Voir les articles suivants