Une étude de GitGuardian, la startup spécialisée dans la cybersécurité, montre que plus de deux millions de secrets ont été détectés sur GitHub en 2020, soit une augmentation de 20 % par rapport à l’année précédente. Il s’avère que 85 % de ces secrets se trouvent dans les dépôts personnels des développeurs, hors du contrôle des entreprises. GitHub est plus que jamais « The Place to Be » pour les développeurs lorsqu’il s’agit d’innover, de collaborer et de travailler en réseau.
Il rassemble plus de 50 millions de développeurs travaillant sur leurs projets personnels et/ou professionnels. Ainsi, 60 millions de dépôts sont créés en un an et près de deux milliards de contributions sont ajoutées, certains risques apparaissent pour les entreprises, même si elles n’utilisent pas GitHub ou ne font pas d’open source, car leurs développeurs le font.
Exposés à l’insu des entreprises
Le rapport 2021 State of Secrets Sprawl on GitHub, qui est basé sur la surveillance constante par GitGuardian de chaque commit poussé vers GitHub public, indique qu’un volume croissant de données sensibles, appelées secrets, telles que les clés API, les clés privées, les certificats, les noms d’utilisateur et les mots de passe, finit par être exposé publiquement sur GitHub. « Ceci met en danger la sécurité des entreprises, car la grande majorité des organisations ignorent le problème ou sont mal équipées pour y faire face », explique le rapport.
Les données confidentielles présentes dans tous ces dépôts peuvent être soit personnelles soit d’entreprise et c’est là que se situe le risque pour les organisations, car certains de leurs secrets d’entreprise sont exposés publiquement par l’intermédiaire des dépôts personnels de leurs développeurs en poste ou partis. Selon le décompte, 15 % des fuites sur GitHub se produisent dans des dépôts publics appartenant à des organisations et 85 % des fuites se produisent dans les dépôts personnels des développeurs.
Types de secrets trouvés :
- 27,6 % clés Google,
- 15,9 % cutils de développement (Django, RapidAPI, Okta),
- 15,4 % stockage de données (MySQL, Mongo, Postgres,...),
- 12 % autres (y compris CRM, Cryptos, fournisseurs d’identité, systèmes de paiement, surveillance),
- 11,1 % systèmes de messagerie (Discord, Sendgrid, Mailgun, Slack, Telegram, Twilio...),
- 8,4 % fournisseur de services dans le cloud (AWS, Azure, Google, Tencent, Alibaba...),
- 6,7 % clés privées,
- 1,9 % réseaux sociaux,
- 0,8 % plate-forme de contrôle de version (GitHub, GitLab),
- 0,4 % outils de collaboration (Asana, Atlassian, Jira, Trello, Zendesk...).
Avec les nombreux langages de programmation, frameworks et pratiques de codage adoptés dans le monde entier, il existe une très longue liste d’extensions qui peuvent contenir des secrets. Les 10 premières extensions de fichiers représentent 81 % de tous les résultats. Les trois premiers représentent plus de 56 % des résultats.
Voici le top 10 des extensions de fichiers :
- 27,7 % Python
- 18,7 % JavaScript
- 9,6 % fichier de type « environment variables »
- 7,5 % JSON
- 4 % propriétés
- 3,6 % PEM
- 3,2 % PSP
- 2,7 % YAML
- 2,2 % XML
- 2 % Typescript