D'un jeune de 21 ans faisant fuiter des renseignements militaires classés secret-défense sur Discord, aux employés de Samsung soumettant des secrets d'entreprise à ChatGPT, en passant par des milliers développeurs oubliant leurs clés d’API dans leur code dans leur précipitation pour développer des applications basées sur OpenAI, toutes ces histoires ont une leçon à nous rappeler : le potentiel de fuites de données sensibles est toujours présent et nécessite des mesures de protection fondamentales au sein des organisations.
Exposition de données sensibles
Le fil conducteur commun à ces histoires est le facteur humain. Dans le cas de Samsung, des employés ont apparemment révélé des informations sensibles sur ChatGPT à trois reprises en seulement trois semaines après que le géant électronique sud-coréen a autorisé les employés à utiliser l'outil d'IA générative.De même, certains développeurs se précipitant pour créer des applications basées sur OpenAI oublient des clés API en clair, comme l'a révélé Cyril Zakka sur Twitter récemment :
Comme le souligne le fil, stocker des clés API dans un package d'application "les rend particulièrement facile à extraire car elles sont disponibles en chaîne de caractères simples sans nécessiter d'outils sophistiqués ou d'efforts considérables".
Lorsqu'il s'agit de mesurer la popularité d'une nouvelle technologie très prometteuse, comme les GPT d'OpenAI, l'une des meilleures mesures est de mesurer le nombre de secrets divulgués par les développeurs sur GitHub.
Qu’est-ce qui alimente ce phénomène? Les identifiants d'authentification numérique, tels que les clés API déjà évoquées, mais aussi les certificats et autres tokens constituent la colle qui tient ensemble les applications, services et infrastructures digitaux. Ces composants sont beaucoup plus nombreux aujourd'hui qu'il y a quelques années. Empilés les uns sur les autres, ils forment la grande majorité des applications d'aujourd'hui. Par exemple, selon BetterCloud, le nombre moyen d’outils cloud (SaaS) utilisés par les organisations dans le monde a été multiplié par 14 entre 2015 et 2021.
Les personnes travaillant dans l'industrie ont tendance à insérer de manière informelle des informations sensibles, telles que des secrets, directement dans des fichiers de configuration, des scripts, du code source ou même des messages privés par commodité. Cette pratique de codage en dur des secrets conduit à une augmentation significative de ce que nous appelons la "dispersion des secrets", où ces informations sensibles peuvent se propager à travers différents dépôts de code lorsqu'ils sont clonés ou partagés sans protection adéquate.
Bien que ces fuites d’informations sensibles ne représentent pas forcément une menace immédiate, le nombre croissant de secrets exposés sur GitHub chaque année est un signal d'alarme soulignant la nécessité pour les organisations de prioriser les pratiques de codage sécurisé et de garder les informations sensibles et les secrets hors du code source.
Conséquences de plus en plus graves
Enfin, si nous avions besoin d'un rappel des enjeux bien réels de la protection des données sensibles, un autre événement a récemment ébranlé l'une des institutions les plus puissantes de la planète.L’affaire du "Pentagon leak", actuellement en cours d’investigation, fait référence à une énorme fuite de renseignements top secrets sur un serveur Discord privé - une plateforme de chat populaire parmi les gamers - qui s'est répandue sur le web début avril. Selon la presse, les documents comprenaient certaines des informations les plus sensibles pour les États-Unis, telles que les perspectives de la guerre Ukraine-Russie et des milliers de rapports de renseignement. L'incident a déjà des répercussions internationales, telles qu'une suspicion accrue d'écoute de la part des alliés des États-Unis.
Au-delà de la remise en question des progrès technologiques employés pour protéger les secrets militaires, cette fuite constitue un rappel amer que même les protocoles de sécurité les plus solides peuvent être compromis par une erreur humaine ou une intention malveillante.
L’actualité ne cesse de rappeler la nécessité absolue pour les organisations de donner la priorité à la protection de leurs données sensibles. Des secrets commerciaux aux documents gouvernementaux classifiés, aucune organisation n'est immunisée contre les risques de fuites de données. Le facteur humain est un point faible commun dans les protocoles de sécurité, ce qui rend crucial que les organisations donnent la priorité à la formation des employés et aux pratiques de codage sécurisé.
Dans le domaine du logiciel, les identifiants ou les secrets sont l'une des données les plus sensibles. Comme l'ont illustré plusieurs attaques récentes, leur compromission peut entraîner une prise de contrôle complète des systèmes informatiques d'une organisation.
Par Thomas Segura, Technical Expert chez Gitguardian
