70 % des informations d'identification divulguées restent actives deux ans plus tard, créant une surface d'attaque en expansion qui devient plus dangereuse chaque jour

Selon une étude de GitGuardian

70 % des informations d'identification divulguées restent actives deux ans plus tard, créant une surface d'attaque en expansion qui devient plus dangereuse chaque jour, selon une étude de GitGuardian

Un nouveau rapport de GitGuardian montre que 70 % des secrets divulgués en 2022 restent actifs à ce jour, créant ainsi une surface d'attaque en expansion qui devient de plus en plus dangereuse chaque jour.

Lorsqu'un secret est divulgué, les mesures correctives devraient être immédiates. Pourtant, les données de GitGuardian révèlent une autre histoire. D'après le rapport, la remédiation est lente en raison de lacunes dans la mise en œuvre et de flux de travail complexes. Les secrets restent valides parce que les organisations ne disposent pas d'un contrôle approprié.


L'étude de GitGuardian sur la cybersécurité révèle également une augmentation de 25 % des secrets divulgués d'une année sur l'autre, avec 23,8 millions de nouvelles informations d'identification détectées sur les référentiels GitHub publics rien qu'en 2024.

« L'explosion des fuites de secrets représente l'une des menaces les plus importantes et les plus sous-estimées en matière de cybersécurité », déclare Eric Fourrier, PDG de GitGuardian. Contrairement aux exploits sophistiqués de type « zero-day », les attaquants n'ont pas besoin de compétences avancées pour exploiter ces vulnérabilités - un seul identifiant exposé peut fournir un accès illimité à des systèmes critiques et à des données sensibles. »

Eric Fourrier attire l'attention sur la violation du département du Trésor américain en 2024 : « Une simple fuite de clé API de BeyondTrust a permis à des attaquants d'infiltrer les systèmes gouvernementaux. Il ne s'agissait pas d'une attaque sophistiquée, mais d'un simple cas d'identification exposée qui a permis de contourner des millions d'investissements en matière de sécurité ».

L'étude révèle également que 35 % de tous les référentiels privés analysés contenaient au moins un secret en texte brut, ce qui remet en cause l'idée reçue selon laquelle les référentiels privés sont sécurisés. Les clés AWS IAM apparaissent en clair dans 8,17 % des référentiels privés, soit cinq fois plus souvent que dans les référentiels publics (1,45 %). Les mots de passe génériques apparaissent presque trois fois plus souvent dans les référentiels privés (24,1 %) que dans les référentiels publics (8,94 %).

Les plateformes de collaboration et les environnements de conteneurs, où les contrôles de sécurité sont généralement plus faibles, créent également des angles morts en matière de sécurité. 2,4 % des canaux des espaces de travail Slack analysés contenaient des secrets divulgués, tandis que 6,1 % des tickets de Jira exposaient des informations d'identification, ce qui en fait l'outil de collaboration le plus vulnérable. Dans DockerHub, 98 % des secrets détectés étaient intégrés exclusivement dans des couches d'images, avec plus de 7 000 clés AWS valides actuellement exposées.

Alors que le code généré par l'IA, l'automatisation et le développement cloud-natif s'accélèrent, le rapport prévoit que la prolifération des secrets ne fera que s'intensifier. Si la protection Push de GitHub a permis de réduire certaines fuites, elle laisse encore des lacunes importantes, notamment en ce qui concerne les secrets génériques, les dépôts privés et les outils de collaboration.

« Pour les RSSI et les responsables de la sécurité, l'objectif n'est pas seulement la détection - il s'agit de remédier à ces vulnérabilités avant qu'elles ne soient exploitées », déclare Eric Fourrier. « Cela nécessite une approche globale qui inclut la découverte automatisée, la détection, la remédiation et une gouvernance plus stricte des secrets sur toutes les plateformes de l'entreprise. »

La prolifération des secrets ne cesse de s'aggraver

En 2024, GitGuardian a analysé 69,6 millions de dépôts publics, dont au moins 4,61 % contenaient un secret. GitGuardian a trouvé 23 770 171 nouveaux secrets codés en dur ajoutés aux dépôts publics GitHub. La prolifération des secrets ne cesse de s'aggraver au fil du temps.


Secrets génériques : un angle mort croissant

Les dernières fonctionnalités d'IA de GitGuardian ont permis la découverte de beaucoup plus de secrets génériques, offrant ainsi la vision la plus complète et la plus précise de la prolifération des secrets.


Protection GitHub Push : pas une solution miracle

L'étude de GitGardian révèle que la protection Push de GitHub a ses limites. Bien qu'elle réduise les fuites pour certaines clés, elle a du mal avec les secrets génériques, la catégorie qui connaît la croissance la plus rapide. Ceux-ci sont plus difficiles à détecter parce qu'ils n'ont pas de modèles standardisés. De nombreuses autres clés, telles que les identifiants MySQL et MongoDB, n'ont pas de préfixe normalisé et échappent encore au filtre de GitHub.


Dépôts privés : un faux sentiment de sécurité

Selon l'étude, les développeurs traitent les secrets dans les dépôts privés avec moins de prudence que dans les dépôts publics, en supposant que la vie privée est synonyme de sécurité. Les dépôts privés sont 9 fois plus susceptibles de contenir des secrets et de devenir publics à la suite d'une mauvaise configuration ou d'une brèche. Les entreprises doivent mettre en œuvre une gestion rigoureuse des secrets dans tous les environnements, et pas seulement dans le code public.


Les fuites de secrets vont au-delà du code source

GitGuardian a constaté des fuites de secrets sur diverses plateformes d'entreprise. Les fuites sur Slack, Jira et Confluence sont très répandues, mais souvent négligées, car ces outils de collaboration ne disposent pas de protections de sécurité intégrées.


Les images Docker publiques constituent une surface d'attaque massive

L'analyse à plus grande échelle de GitGuardian portant sur 15 millions d'images Docker publiques a permis de découvrir 100 000 secrets valides, notamment des clés AWS et des jetons GitHub d'entreprises figurant au classement Fortune 500.


Même les gestionnaires de secrets ne peuvent pas arrêter la prolifération des secrets

Les mauvaises configurations, les contrôles d'accès inappropriés et les pratiques d'authentification non sécurisées continuent d'exposer les informations d'identification, selon l'étude de GitGuardian. La prolifération des secrets reste un problème, même dans les organisations dotées de gestionnaires de secrets spécialisés.


Les assistants de codage IA exposent également les secrets

L'utilisation de GitHub Copilot a augmenté de 27 % entre 2023 et 2024. GitGuardian a constaté que les dépôts publics utilisant Copilot avaient un taux de fuite de secrets de 6,4 %. Cela suggère que si l'IA améliore la productivité, elle peut également introduire des risques de sécurité, ce qui renforce la nécessité de contrôles solides de détection des secrets.


Source : GitGuardian

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette étude de GitGuardian crédibles ou pertinentes ?

Voir aussi :

Des secrets d'entreprise pourraient être divulgués par inadvertance via les dépôts GitHub, selon une nouvelle étude d'Aqua Security

Une étude révèle que 10 millions de nouveaux secrets ont été exposés par les développeurs dans les commits publics sur GitHub en 2022, soit une augmentation de 67 % par rapport à 2021

« Si vous confiez les rênes à Copilot, ne vous étonnez pas qu'il dévoile vos secrets », d'après une récente étude selon laquelle cette IA peut être transformée en outil d'exfiltration de données