GitGuardian, expert en détection automatisée de secrets, a publié l’édition 2024 de son rapport State of Secrets Sprawl. En ressort 12,8 millions de nouvelles occurrences de secrets divulguées publiquement sur GitHub en 2023, soit 28% de plus qu’en à 2022.
La hausse constante de dépôts de code sur GitHub, avec 50 millions de nouveaux dépôts l’année dernière (une augmentation de 22 %), accroît le risque d’exposition accidentelle ou délibérée d’informations sensibles. En 2023, on a recensé plus d’un million d’occurrences valides de secrets Google API, ainsi que 250 000 secrets Google Cloud et 140 000 secrets AWS. Bien que le secteur des technologies de l’information, y compris les éditeurs de logiciels, soit le plus touché, représentant 65,9 % de toutes les fuites détectées, d’autres secteurs sont également impactés. Cela inclut l’éducation, la science et la technologie, la vente au détail, l’industrie manufacturière, la finance et l’assurance, qui contribuent respectivement à 20,1 %, 7 %, 1,5 %, 1,2 % et 1 % des fuites.
Les secrets non révoqués, un risque majeur pour les organisations
Le rapport révèle une faille de sécurité majeure : une fois qu’un secret valide est découvert exposé, 90 % d’entre eux restent actifs pendant au moins cinq jours, même après avoir été signalés à l’auteur. Les clés d’API et les jetons d’authentification des principaux fournisseurs de services tels que Cloudflare, AWS, OpenAI ou même GitHub sont fréquemment touchés par ces secrets non révoqués. Selon Eric Fourrier, PDG et fondateur de GitGuardian, « les développeurs qui suppriment les commits ou les dépôts, au lieu de révoquer les secrets compromis, exposent gravement les entreprises à des risques de sécurité. Ces fuites, qualifiées de ‘zombies’, sont les plus dangereuses, car elles maintiennent les entreprises vulnérables aux attaques malveillantes tant que l’identifiant compromis reste valide ».
La faille Toyota comme (contre-) exemple
Afin d’estimer la fréquence des fuites « zombies », l’étude a examiné un échantillon aléatoire de 5 000 commits effacés qui avaient révélé des secrets. Seuls 28,2 % des dépôts contenant ces commits étaient encore accessibles au moment de l’étude. Cela suggère que les dépôts restants ont probablement été supprimés ou rendus privés suite à la fuite, ce qui laisse entendre que la prévalence des fuites zombies pourrait être sous-estimée. De plus, l’étude suppose que les entreprises pourraient utiliser les retraits DMCA pour réguler les dépôts exposant des secrets sur lesquels elles n’ont aucun contrôle. Pour étayer cette hypothèse, l’étude a constaté qu’en 2023, 12,4 % des 2 050 dépôts retirés par GitHub exposaient au moins un secret, ce qui représente une augmentation de 37,8 % par rapport à 2020. « La faille de Toyota en 2022, où un pirate a obtenu des informations d’identification pour l’un de ses serveurs à partir d’un code source publié sur GitHub, démontre que même cinq ans après une fuite, une compromission peut toujours survenir », a souligné Éric Fourrier. Le rapport est en accès libre derrière ce lien.
