Plus de 23 millions de fuites de secrets en 2024 !

Autre alerte ! 70 % des secrets divulgués en 2022 sont toujours actifs. « L’explosion des fuites de secrets représente l’une des menaces les plus importantes, mais sous-estimées, en matière de cybersécurité » souligne Éric Fourrier, PDG de GitGuardian. « Contrairement aux exploits sophistiqués de type zero-day, les attaquants n’ont pas besoin de compétences avancées pour exploiter ces vulnérabilités : une seule information d’identification exposée peut fournir un accès illimité à des systèmes critiques et à des données sensibles. »

Alors, quelles sont les tendances critiques pour les entreprises ?

Secrets génériques

Malgré la GitHub Push, les secrets génériques (mots de passe codés en dur, identifiants de base de données, jetons d’authentification personnalisés) représentent plus de la moitié de toutes les fuites détectées. Ces identifiants ne présentent pas de modèles standardisés donc presque impossibles à détecter avec les outils conventionnels.

Dépôts de code privés

Pas moins de 35 % des dépôts de code privés analysés contenaient au moins un secret en clair. Les dépôts privés ne sont donc pas sécurisés. Pour preuve, les clés AWS IAM apparaissent en clair dans 8,17 % des dépôts privés (plus de 5 fois plus fréquemment que dans les dépôts publics / 1,45 %). Ou encore : les mots de passe génériques apparaissent près de trois fois plus souvent dans les dépôts privés (24,1 %) que dans les dépôts publics (8,94 %).

Dans les outils du cycle de vie du logiciel

Les secrets codés en dur se retrouvent dans des angles morts : les plateformes de collaboration et les conteneurs. Pour Slack : 2,4 % des canaux des espaces de travail analysés contenaient des secrets divulgués. Pour Jira : 6,1 % des tickets exposent des identifiants. Pour DockerHub : 98 % des secrets détectés sont intégrés exclusivement dans des couches d’images, avec plus de 7 000 clés AWS valides actuellement exposées

Crise des identités machines

Les identités machines, les services accounts et les tokens, sont plus nombreux que les identités humaines. Ces identifiants manquent d’une gestion et d’une rotation appropriées, d’où des vulnérabilités persistantes.

Gestionnaires de secrets

Les organisations utilisant des solutions de gestion des secrets restent vulnérables. Sur 2 584 dépôts de code utilisant des gestionnaires de secrets, on observe un taux de fuite de secrets de 5,1 %. Ce chiffre dépasse la moyenne globale de GitHub de 4,6 %. Alors, quels sont les problèmes courants ?

• Secrets extraits des gestionnaires de secrets et codés en dur ailleurs
• Authentification non sécurisée des gestionnaires de secrets exposant les identifiants d’accès
• Gouvernance fragmentée en raison de la prolifération des secrets dans plusieurs gestionnaires de secrets

Des recommandations pour une sécurité des secrets

Aucun doute, la fuite de secrets ne fera que s’intensifier. « Pour les RSSI et les responsables de la sécurité, l’objectif n’est pas seulement la détection, mais aussi la correction de ces vulnérabilités avant qu’elles ne soient exploitées » précise Éric Fourrier. « Cela nécessite une approche globale qui inclut la découverte, la détection et la remédiation automatisées, ainsi qu’une gouvernance plus stricte des secrets sur toutes les plateformes de l’entreprise. »

Voici 4 recommandations pour lutter contre la prolifération des secrets.

• Déployer une surveillance des identifiants exposés dans tous les environnements
• Mettre en place une détection et une remédiation centralisées des secrets
• Mettre en place des politiques de rotation semi-automatisées pour tous les identifiants
• Créer des directives claires pour les développeurs afin d’assurer une utilisation sécurisée du gestionnaire de secrets

Source: Rapport annuel « 2025 State of Secrets Sprawl Report – GitGuardian

Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr :

La détection n’a plus de secret pour GitGuardian