GitGuardian a analysé 1,027 milliard de nouveaux commits en 2022 (+20% par rapport à 2021) et a trouvé 10 000 000 d’occurrences de secrets (+67% par rapport à 2022). Ce nombre toujours croissant révèle qu’ 1 auteur de code sur 10 a exposé un secret en 2022.

Une fausse idée circule sur le fait que ce sont les développeurs juniors qui publient le plus souvent des secrets codés en dur, mais la réalité est que cela peut arriver à n’importe quel développeur, quelle que soit son expérience ou sa séniorité.

Les secrets ne sont pas n’importe quel type d’informations d’identification ; ils lient en toute sécurité les composants de la supply chain logicielle, du code au cloud. Et en raison de l’effet de levier qu’ils procurent, ils sont devenus les informations les plus recherchées par les pirates. En effet, de nombreuses brèches survenues en 2022 ont montré à quel point leur protection est insuffisante.

Deux exemples récents illustrent comment les secrets peuvent être exploités dans une attaque :
Uber 15 septembre 2022 : un attaquant a hacké Uber et a utilisé des identifiants d’administrateur codés en dur pour se connecter à Thycotic, la plateforme de gestion des accès de l’entreprise. Ils ont réalisé une prise de contrôle complète de plusieurs outils internes et applications.

CircleCI, 29 décembre 2022 : un attaquant a exploité un logiciel malveillant déployé sur l’ordinateur portable d’un ingénieur de CircleCI pour voler une session SSO valide, protégée par 2FA. Ils pouvaient alors exfiltrer les données des clients, notamment les variables d’environnement, les jetons et les clés des clients.

"Notre mission est de sécuriser le code et le SDLC. Nous voulons le faire avec une approche transparente, simple et pragmatique, en commençant par l’un des problèmes les plus importants de la sécurité des applications : les secrets dans le code" explique Éric Fourrier CEO de Gitguardian.

"Les données secrètes, y compris les jetons et les clés trouvés sur des référentiels ouverts tels que GitHub, sont facilement revendues (ou dans certains cas, partagées gratuitement) sur le darknet et le deep web. Il existe une grande quantité d’informations sensibles disponibles au téléchargement sur le darknet et le deep web, dont le prix varie de gratuit à plusieurs milliers de dollars." Analyste DarkOwl
Plus de 80 % des secrets découverts sur GitHub sont exposés dans les dépôts personnels des développeurs, et une grande partie d’entre eux sont en fait des secrets d’entreprise. De multiples hypothèses peuvent expliquer pourquoi cela se produit. Bien sûr, les comportements malveillants ne peuvent être écartés, notamment le détournement des ressources de l’entreprise. Mais l’ampleur même du phénomène laisse entrevoir autre chose : la plupart de ces incidents se produisent parce que l’erreur est humaine et qu’il est facile de mal configurer Git.

"Si un collègue travaillant dans une équipe sécurité me disait que la détection des secrets n’est pas une priorité, je lui répondrais que c’est une erreur. La plupart des gros problèmes de sécurité proviennent soit d’attaques d’ingénierie sociale, soit de credential stuffing. Il est donc très important de savoir que vos ingénieurs et vos employés vont divulguer des secrets. C’est la vie. La plupart du temps, c’est dû à des erreurs. Mais si cela arrive, il faut agir. Plus il y a d’ingénieurs, plus il y a de possibilités que des fuites se produisent." Theo Cusnir - Ingénieur en sécurité des applications chez PayFit

Il ne faut pas oublier que le code source privé peut se retrouver dans l’espace public par erreur ou parce qu’il a été volé. Les récentes fuites de code de Samsung, Nvidia, Microsoft et Dropbox en sont de bons exemples.

Comme beaucoup d’autres défis en matière de sécurité, une mauvaise hygiène des secrets implique la triade habituelle des personnes, des processus et des outils. Les organisations qui veulent vraiment maîtriser la prolifération des secrets doivent travailler sur tous ces fronts simultanément.

*Secret : Dans le développement de logiciels, les secrets font généralement référence à des jetons d’authentification numérique qui permettent d’accéder à des systèmes ou à des données. Il s’agit le plus souvent de clés API, de noms d’utilisateur, de mots de passe ou de certificats de sécurité.