sur l’autre.
Les secrets génériques (notamment les mots de passe codés en dur, les identifiants de base de données et les jetons d’authentification personnalisés) représentent désormais plus de la moitié de toutes les fuites détectées.
Ces identifiants ne présentent pas de modèles standardisés, ce qui les rend presque impossibles à détecter avec les outils conventionnels. Cette enquête révèle aussi une vérité alarmante : pas moins de 35 % de tous les dépôts de code privés analysés contenaient au moins un secret en clair, ce qui remet en question l’hypothèse courante selon laquelle les dépôts privés sont sécurisés !
On y apprend ainsi que :
- Les clés AWS IAM apparaissent en clair dans 8,17 % des dépôts privés, soit plus de 5 fois plus fréquemment que dans les dépôts publics (1,45 %)
- Les mots de passe génériques apparaissent près de trois fois plus souvent dans les dépôts privés (24,1 %) que dans les dépôts publics (8,94 %).
- Les informations d’identification MongoDB sont le type de secret le plus fréquemment divulgué dans les dépôts publics (18,84 %).
- Slack : 2,4 % des canaux des espaces de travail analysés contenaient des secrets divulgués
- Jira : 6,1 % des tickets exposent des identifiants, ce qui en fait l’outil de collaboration le plus vulnérable
- DockerHub : 98 % des secrets détectés sont intégrés exclusivement dans des couches d’images, avec plus de 7 000 clés AWS valides actuellement exposées
Même les organisations qui utilisent des solutions de gestion des secrets (Hashicorp, Delinea, Cyberark) restent vulnérables. Une étude portant sur 2 584 dépôts de code utilisant des gestionnaires de secrets a révélé un taux de fuite de secrets de 5,1 %, loin du taux quasi nul que nous devrions observer. Ce chiffre dépasse même la moyenne globale de GitHub de 4,6 %.
La situation va-telle s’améliorer ? Pas sur ! Alors que le code généré par l’IA, l’automatisation et le développement cloud-native s’accélèrent, le rapport prévoit que la fuite de secrets ne fera que s’intensifier.
D’où la nécessité d’appliquer des règles essentielles :
- Déployer une surveillance des identifiants exposés dans tous les environnements
- Mettre en place une détection et une remédiation centralisées des secrets
- Mettre en place des politiques de rotation semi-automatisées pour tous les identifiants
- Créer des directives claires pour les développeurs afin d’assurer une utilisation sécurisée du gestionnaire de secrets