GitGuardian, un spcialiste de la dtection automatise des secrets dans les rfrentiels de code, a publi mercredi la troisime dition de son rapport annuel « State of Secrets Sprawl » qu’elle dcrit comme l’analyse la plus complte des secrets exposs sur GitHub et au-del. Le rapport a rvl que 10 millions de nouveaux secrets ont t exposs dans les commits publics sur GitHub en 2022, soit une augmentation de 67 % par rapport 2021. Il indique en outre que les secrets cods en dur et l’acclration de la prolifration des secrets (stockage des secrets diffrents endroits) menacent la scurit des chanes d’approvisionnement en logiciels.
Les dveloppeurs ont divulgu un nombre important de secrets d’entreprise en 2022
L’quipe d’experts de GitGuardian dit avoir scann et analys plus d’un milliard de nouveaux commits en 2022 (+20 % par rapport 2021) pour dcouvrir les dernires tendances et identifier les dfis les plus pressants auxquels sont confronts les dveloppeurs aujourd’hui. La principale question laquelle l’quipe cherche rpondre chaque anne est la suivante : combien de nouveaux secrets ont t rvls sur GitHub au cours de l’anne prcdente ? En effet, les secrets cods en dur posent des risques de scurit importants, car ils sont souvent stocks en texte clair, ce qui permet aux acteurs malveillants de les extraire plus facilement du code source.
Les secrets peuvent galement tre divulgus ou exposs par inadvertance par le biais d’autres failles de scurit telles que l’injection de code ou les fuites de donnes. Ainsi, la nouvelle version du rapport State of Secrets Sprawl a rvl que l’anne 2022 a t particulirement fuyante en ce qui concerne les secrets. Sur les 13,3 millions d’auteurs distincts ayant pouss du code sur GitHub en 2022, 1,35 million ont accidentellement expos un secret et 5,5 commits sur 1 000 ont expos au moins un secret, soit une augmentation de 50 % par rapport 2021. GitGuardian a catgoris deux types de spcifications de secrets : spcifiques et gnriques.
Selon le rapport, les dtecteurs spcifiques correspondent des secrets reconnaissables tels que les cls d’accs AWS ou les identifiants de base de donnes MongoDB ; les secrets reprsentant 33 % des secrets dtects dans le cadre de la recherche. Les secrets gnriques reprsentent 67 % des secrets dtects, les dtecteurs gnriques correspondant des secrets tels que l’adresse lectronique de la socit et les mots de passe cods en dur dans un fichier. Les secrets les plus spcifiques dtects par l’quipe en 2022 sont des choses comme : google_api_key, private_key_rsa, private_key_generic, googlecloud_keys et postgresql_credentials.
Selon GitGuardian, les mots de passe, les secrets haute entropie et les noms d’utilisateur/mots de passe sont les secrets gnriques les plus trouvs. Le rapport cite des exemples rcents de secrets divulgus qui ont t exploits dans des attaques contre Uber et CircleCI ; des dpts de code source vols affectant des entreprises telles que LastPass, Microsoft, Okta et Samsung ; et des secrets exposs publiquement affectant Android, Toyota et Infosys. En septembre, un pirate s’est introduit chez Uber et a utilis des identifiants d’administrateur cods en dur pour se connecter Thycotic, la plateforme de gestion des accs privilgis de l’entreprise.
Cela lui a permis de prendre le contrle de plusieurs outils internes et applications de productivit. Plus de 80 % de tous les secrets dtects sur GitHub sont exposs via les dpts personnels des dveloppeurs, et une grande partie d’entre eux sont en fait des secrets d’entreprise. Plusieurs raisons peuvent expliquer ce phnomne. Bien sr, les comportements malveillants peuvent tre un facteur, notamment le dtournement des ressources d’une entreprise et d’autres motifs louches. Cependant, l’ampleur du phnomne laisse entrevoir autre chose : la plupart de ces incidents sont dus des erreurs humaines et une mauvaise configuration.
Si un collgue de la scurit me disait que la dtection des secrets n’est pas une priorit, je lui dirais que c’est une erreur. La plupart des gros problmes de scurit sont dus des attaques d’ingnierie sociale ou la falsification d’informations d’identification. Il est donc trs important de savoir que vos ingnieurs et vos employs sont susceptibles de divulguer des secrets. C’est la vie. La plupart du temps, c’est d des erreurs. Cependant, si cela se produit, nous devons agir en consquence. Plus il y a d’ingnieurs, plus la possibilit qu’il y ait des fuites augmente , a dclare Theo Cusnir, ingnieur en scurit des applications chez PayFit.
La prolifration des secrets en dur menace la chane d’approvisionnement en logiciels
Selon le rapport, les secrets cods en dur et leur prolifration constituent des menaces importantes pour la scurit des chanes d’approvisionnement en logiciels. Les secrets peuvent tre dvoils de plusieurs faons, et le code source est un actif qui peut rapidement tre perdu au profit de sous-traitants et, bien sr, du vol de code source. Les discussions et les activits relatives au partage de secrets d’API sur le dark Web sont galement un problme croissant. Les discussions autour du vol et de la vente de cls d’API sont un phnomne relativement nouveau sur le darknet, et nous nous attendons ce qu’elles continuent se dvelopper , note le rapport.
GitGuardian estime que les acteurs de la menace qui cherchent faciliter la distribution plus large de logiciels malveillants par le biais de compromissions de la chane d’approvisionnement ont galement discut d’informations d’identification et de points de pivot provenant de rfrentiels ouverts. Il s’agit d’un problme important qui peut permettre un pirate d’utiliser ces informations pour se faire passer pour quelqu’un d’autre ou pour obtenir d’autres dtails sensibles sur l’environnement. Les consquences peuvent aller de rsultats d’audit ngatifs la compromission complte de l’infrastructure et l’exfiltration massive de donnes.
Aujourd’hui, il est courant que ces secrets se retrouvent dans des systmes de contrle du code source tels que Git, ce qui les expose potentiellement un plus grand nombre de personnes, voire au grand public. GitGuardian explique que, comme beaucoup d’autres problmes de scurit, une mauvaise hygine des secrets implique une combinaison de personnes, de processus et d’outils. Les organisations qui souhaitent matriser la prolifration des secrets doivent travailler simultanment sur tous ces fronts. Autrement dit, les entreprises doivent comprendre que le code source est l’un de leurs actifs les plus prcieux et qu’il doit tre protg.
La toute premire tape consiste obtenir un audit clair de la posture de scurit de l’organisation en ce qui concerne les secrets : o et comment sont-ils utiliss ? O fuient-ils ? Comment se prparer au pire ? Comme beaucoup d’autres problmes de scurit, une mauvaise hygine en matire de secrets implique le trio habituel de personnes, de processus et d’outils. La dtection et l’attnuation des secrets cods en dur peuvent tre dplaces diffrents niveaux pour construire une dfense en profondeur tout au long du cycle de dveloppement , note le rapport. Vous pouvez obtenir le rapport complet sur le site officiel de GitGuardian.
Les secrets, tokens, mots de passe et certificats sont de toutes formes et tailles, mais ce qu’ils ont en commun est leur capacit passer inaperus dans les revues de code manuelles et les contrles de scurit. Pour aider les organisations et les dveloppeurs protger leurs secrets attnuer la prolifration des secrets cods en dur, GitGuardian propose un outil qui permet aux quipes de scurit de dtecter automatiquement les secrets cods en dur et les vulnrabilits dans le cycle de dveloppement des logiciels et d’y remdier. Nous sommes l’alli des dveloppeurs chaque tape du cycle de vie du dveloppement , affirme GitGuardian.
propos de GitGuardian
GitGuardian est un spcialiste de la dtection automatise des secrets dans les rfrentiels de code. L’entreprise a t fonde en novembre 2017 par ric Fourrier et Jrmy Thomas et est base Paris, en France. Elle propose un moteur de dtection des secrets afin d’aider les organisations dtecter et corriger les vulnrabilits dans le code source chaque tape du cycle de vie du dveloppement logiciel. Grce au moteur de politique de GitGuardian, les quipes de scurit peuvent surveiller et appliquer des rgles travers leur VCS, les outils DevOps et les configurations de l’infrastructure en tant que code , affirme l’entreprise.
Le moteur de dtection des secrets de GitGuardian supporte plus de 350 fournisseurs et toutes sortes d’identifiants gnriques et l’entreprise indique qu’il peut mme tre tendu pour dtecter des modles personnaliss. Largement adopt par les dveloppeurs, le moteur de dtection des secrets de GitGuardian serait actuellement utilis par plus de 300 000 dveloppeurs et serait l’application numro un dans la catgorie scurit sur la place de march GitHub. GitGuardian est galement utilis par des entreprises de premier plan, telles que Instacart, Snowflake, Orange, Iress, Mirantis, Maven Wave, PayFit et Bouygues Telecom.
Notre mission est de scuriser le code. Nous voulons le faire avec une approche transparente, simple et pragmatique en commenant par l’un des problmes les plus importants de l’AppSec : les secrets dans le code , a dclar ric Fourrier, PDG de GitGuardian.
Source : le rapport State of Secrets Sprawl 2023 (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des conclusions du rapport de GitGuardian ?
Selon vous, pourquoi les dveloppeurs laissent des secrets d’entreprise en clair dans les codes sources ?
Selon vous, pourquoi de plus en plus de secrets sont exposs chaque anne malgr les menaces de piratage ?
Avez-vous une mthodologie pour empcher la divulgation de secrets ? Ou utilisez-vous un outil spcifique ?
Que pensez-vous du moteur de dtection automatise des secrets de GitGuardian ?
Voir aussi