Un rapport révèle une augmentation de 25 % des fuites de secrets d’une année sur l’autre, avec 23,8 millions de nouveaux secrets détectés sur GitHub public pour la seule année 2024. Le rapport annuel « 2025 State of Secrets Sprawl Report » de GitGuardian, un spécialiste français de la cybersécurité et éditeur de l’application GitHub, révèle l’ampleur des fuites de données avec une augmentation de 25 % d’une année
sur l’autre.

Les secrets génériques (notamment les mots de passe codés en dur, les identifiants de base de données et les jetons d’authentification personnalisés) représentent désormais plus de la moitié de toutes les fuites détectées.

Ces identifiants ne présentent pas de modèles standardisés, ce qui les rend presque impossibles à détecter avec les outils conventionnels. Cette enquête révèle aussi une vérité alarmante : pas moins de 35 % de tous les dépôts de code privés analysés contenaient au moins un secret en clair, ce qui remet en question l’hypothèse courante selon laquelle les dépôts privés sont sécurisés !

On y apprend ainsi que :
  • Les clés AWS IAM apparaissent en clair dans 8,17 % des dépôts privés, soit plus de 5 fois plus fréquemment que dans les dépôts publics (1,45 %)

  • Les mots de passe génériques apparaissent près de trois fois plus souvent dans les dépôts privés (24,1 %) que dans les dépôts publics (8,94 %).

  • Les informations d’identification MongoDB sont le type de secret le plus fréquemment divulgué dans les dépôts publics (18,84 %).
Les secrets codés en dur sont partout, mais surtout dans des angles morts tels que les plateformes de collaboration et les conteneurs où les contrôles de sécurité sont généralement plus faibles :
  • Slack : 2,4 % des canaux des espaces de travail analysés contenaient des secrets divulgués

  • Jira : 6,1 % des tickets exposent des identifiants, ce qui en fait l’outil de collaboration le plus vulnérable

  • DockerHub : 98 % des secrets détectés sont intégrés exclusivement dans des couches d’images, avec plus de 7 000 clés AWS valides actuellement exposées
Les identités machines, y compris les clés API, les services accounts et les tokens, sont désormais bien plus nombreuses que les identités humaines dans la plupart des organisations. Cependant, ces identifiants manquent souvent d’une gestion et d’une rotation appropriées, ce qui crée des vulnérabilités persistantes.

Même les organisations qui utilisent des solutions de gestion des secrets (Hashicorp, Delinea, Cyberark) restent vulnérables. Une étude portant sur 2 584 dépôts de code utilisant des gestionnaires de secrets a révélé un taux de fuite de secrets de 5,1 %, loin du taux quasi nul que nous devrions observer. Ce chiffre dépasse même la moyenne globale de GitHub de 4,6 %.

La situation va-telle s’améliorer ? Pas sur ! Alors que le code généré par l’IA, l’automatisation et le développement cloud-native s’accélèrent, le rapport prévoit que la fuite de secrets ne fera que s’intensifier.

D’où la nécessité d’appliquer des règles essentielles :
  • Déployer une surveillance des identifiants exposés dans tous les environnements

  • Mettre en place une détection et une remédiation centralisées des secrets

  • Mettre en place des politiques de rotation semi-automatisées pour tous les identifiants

  • Créer des directives claires pour les développeurs afin d’assurer une utilisation sécurisée du gestionnaire de secrets