Les secrets ne sont pas seulement des identifiants de connexion et des données personnelles ; ils maintiennent solidement ensemble les composants de la chaîne d’approvisionnement logicielle moderne, du code au cloud. Et en raison de l’effet de levier qu’ils procurent, ils sont très recherchés par les pirates.
Cependant, de nombreuses violations survenues en 2022 montrent à quel point la protection des secrets est insuffisante. Les recherches du spécialiste de la détection automatisée GitGuardian révèlent qu’un auteur de code sur 10 a exposé un secret en 2022.
Dans un seul exemple, en septembre 2022, un attaquant a piraté Uber et a utilisé des informations d’identification d’administrateur codées en dur pour se connecter à Thycotic, la plate-forme de gestion des accès privilégiés de l’entreprise. Cela leur a permis de réaliser une prise de contrôle complète du compte sur plusieurs outils internes et applications de productivité.
Plus de 80 % de tous les secrets capturés par la surveillance en direct sur GitHub sont exposés via les référentiels personnels des développeurs, et une grande partie d’entre eux sont, en fait, des secrets d’entreprise. Il y a un certain nombre de raisons pour expliquer pourquoi cela se produit. Bien sûr, un comportement malveillant peut être un facteur, y compris le détournement des ressources de l’entreprise et d’autres motifs louches. Mais l’ampleur même du phénomène laisse entrevoir autre chose, la plupart de ces événements se produisent à cause d’erreurs humaines et d’une mauvaise configuration.
“Si un collègue de la sécurité me disait que la détection de secrets n’est pas une priorité, je dirais que c’est une erreur », déclare Theo Cusnir, ingénieur en sécurité des applications chez PayFit.”La plupart des gros problèmes de sécurité proviennent d’attaques d’ingénierie sociale ou de credential stuffing. Il est donc très important de savoir que vos ingénieurs et vos employés vont divulguer des secrets. C’est la vie. La plupart du temps, c’est dû à des erreurs. Mais si cela se produit, nous devons agir en conséquence. Plus il y a d’ingénieurs, plus il y a de risque que des fuites se produisent.”
Comme beaucoup d’autres problèmes de sécurité, une mauvaise hygiène des secrets implique une combinaison de personnes, processus et outils. Les organisations qui souhaitent apprivoiser la prolifération des secrets doivent travailler simultanément sur tous ces fronts.
“Notre mission est de sécuriser le code et le SDLC. Nous voulons le faire avec une approche transparente, simple et pragmatique en commençant par l’un des le problème le plus important dans l’appsec : les secrets dans le code”, déclare Eric Fourrier, PDG de GitGuardian.
Vous pouvez obtenir l’intégralité de State of Secrets Sprawl 2023 report sur le site GitGuardian et il y aura un webinaire pour discuter des résultats le 22 mars à 11h HE.
Crédit image : Dean Drobot/Shutterstock