L’essor du développement assisté par IA bouleverse les pratiques logicielles… et amplifie les risques de sécurité. Selon la cinquième édition du rapport State of Secrets Sprawl publiée par GitGuardian, près de 29 millions de secrets ont été détectés sur GitHub public en 2025. Les fuites liées aux services d’IA progressent de 81 %, tandis que les commits réalisés avec assistance IA présentent des taux d’exposition nettement plus élevés.
Une explosion des secrets dans un développement logiciel dopé à l’IA
L’année 2025 marque un tournant pour l’ingénierie logicielle. L’adoption massive de l’IA a profondément modifié les pratiques de développement et accéléré la production de code. Sur GitHub, les commits publics ont progressé de 43 % sur un an, un rythme de croissance au moins deux fois supérieur à celui observé les années précédentes.
Cette accélération s’accompagne d’un phénomène parallèle : la multiplication des identifiants, tokens et clés nécessaires au fonctionnement des architectures modernes. Depuis 2021, le nombre de secrets exposés augmente environ 1,6 fois plus vite que la population de développeurs actifs.
Résultat : GitGuardian a détecté environ 29 millions de secrets divulgués sur GitHub public en 2025, soit une hausse annuelle de 34 %, la plus forte progression jamais enregistrée par l’éditeur.
Le développement assisté par IA apparaît comme un facteur aggravant. Les commits réalisés avec l’outil Claude Code présentent des fuites de secrets dans environ 3,2 % des cas, contre 1,5 % en moyenne sur l’ensemble de la plateforme. L’accessibilité accrue des outils de génération de code permet à des profils moins expérimentés de produire rapidement des applications, mais ces derniers restent parfois peu attentifs aux questions de sécurité ou ignorent les avertissements des assistants.
Les identités machines deviennent un angle mort de la sécurité
Le rapport souligne également une transformation profonde de la surface d’attaque. L’essor de l’IA multiplie les identités non humaines, comptes de service, clés d’API, tokens, intégrées dans les systèmes.
Les fuites liées aux services d’IA affichent la croissance la plus rapide : elles progressent de 81 % sur un an pour atteindre plus de 1,27 million d’identifiants exposés. Ces identités techniques peuvent contourner plus facilement les protections conçues pour des workflows de développement traditionnels.
Un autre risque apparaît avec les configurations MCP. La documentation de ces serveurs recommande souvent d’inscrire directement les identifiants dans les fichiers de configuration plutôt que d’utiliser des mécanismes d’authentification plus robustes. L’analyse de GitGuardian a ainsi révélé l’exposition de 24 008 secrets uniques dans ces fichiers.
Les dépôts internes restent néanmoins le principal réservoir d’exposition : ils sont environ six fois plus susceptibles de contenir des secrets en dur que les dépôts publics.
La diffusion des secrets dépasse désormais largement le code lui-même. Près de 28 % des incidents proviennent d’outils de collaboration ou de productivité, où les identifiants circulent entre utilisateurs, automatisations et agents IA.
Les postes de travail des développeurs deviennent également une zone critique. Les agents IA disposent d’un accès de plus en plus profond aux environnements locaux — éditeurs, terminaux ou stockages d’identifiants.
« Les agents IA ont besoin d’identifiants locaux pour se connecter aux systèmes, transformant les ordinateurs portables des développeurs en une surface d’attaque massive », explique Éric Fourrier, PDG de GitGuardian. « Les équipes de sécurité doivent cartographier précisément les secrets présents sur chaque machine afin d’identifier les failles critiques comme les accès à privilèges excessifs et les clés de production exposées. »
Une dette de sécurité qui s’accumule
Au-delà de la détection, GitGuardian met en lumière une difficulté persistante : la gestion des incidents à grande échelle.
Près de 60 % des violations de politiques de sécurité concernent encore des identifiants à longue durée de vie, signe d’une transition lente vers des accès temporaires et limités. La priorisation reste également complexe : 46 % des secrets critiques ne disposent d’aucun mécanisme de validation fourni par leur fournisseur, obligeant les équipes à analyser le contexte pour déterminer leur exploitabilité.
Surtout, la remédiation reste insuffisante. Selon le rapport, 64 % des secrets divulgués en 2022 et toujours valides n’avaient pas été traités en 2026.
Pour GitGuardian, la prochaine étape des programmes de sécurité passe par une gouvernance dédiée des identités non humaines. Ces identités doivent être traitées comme des actifs stratégiques, avec un suivi précis, du contexte et une automatisation de la remédiation sur l’ensemble des surfaces d’exposition.
