La détection n’a plus de secret pour GitGuardian !

Avec un effectif de 140 collaborateurs (120 basés en France et 20 aux Etats-Unis) aujourd’hui, des premiers clients américains, une expertise inégalée et un prix start-up FIC 2021, GitGuardian s’est profondément ancré dans le paysage de la détection des secrets. Aider les équipes (développement, opérations cloud, sécurité et conformité) à sécuriser le développement logiciel, mais aussi surveiller les dépôts de code publics et privés en temps réel, détecter les secrets et erreurs de configuration IaC, et alerter pour une remédiation rapide sont évidemment les priorités.

Décryptage de la détection des secrets !

On ne présente plus GitGuardian, l’expert mondial de la détection automatisée de secrets, créé en 2017, « suite à un constat » précise le cofondateur.

« En effet, les développeurs ont de plus en plus de technologies à maitriser (backend, frontend, sécurité …) et ne peuvent être partout ». L’idée est donc de combler ces lacunes sur le protocole Git et notamment la gestion des secrets « un secret est comme un mot de passe mais dans le monde des serveurs, des applications et de l’IT. Par exemple, comment faire en sorte que deux applications communiquent entre elles, qu’un service communique avec une base de données ? Jeton API ou identifiant base de données … Les identifiants permettent cette communication entre les applications ».

Mais dans l’environnement actuel et avec la révolution DevOps, les développeurs utilisent de plus en plus de services externes, « l’erreur est donc de mettre les secrets directement dans le code, ce qui crée une vulnérabilité. D’autant que le code peut devenir publiquement accessible, et être distribué à des clients … ».

Si GitGuardian est né de ce side project, sa notoriété n’est plus à faire. Tout est allé très vite pour la start-up française : du scan code publiquement disponible dans le monde en temps réel jusqu’à la détection des secrets en passant par l’envoi de mails d’alerte aux développeurs (300 mails au début). « Aujourd’hui, c’est 5000 à 6000 mails envoyés par jour et c’est l’application de sécurité du code la plus installée au monde ». Application gratuite pour les développeurs, complétée d’outils de détection des secrets pour les entreprises « pour scanner leur empreinte open source publique et leur code interne ».

The State of Secrets Sprawl

Revenons sur la 4^ème édition du rapport et cette notion de secret « cette donnée sensible que l’on souhaite garder privée ». Dans le cadre du développement de logiciels, on parle de références d’authentification numérique permettant d’accéder à des services, systèmes et des données.

Alors qu’en est-il en 2024 ? «  On observe de plus en plus de secrets, et les risques liés à la fuite des secrets ne cessent de croître »

12,8 millions de nouvelles occurrences de secrets ont été divulguées publiquement sur GitHub en 2023 (+28 % par rapport à 2022). Le nombre croissant de dépôts de code sur GitHub augmente le risque d’exposition accidentelle et délibérée d’informations sensibles. En 2023, plus d’un million d’occurrences valides de secrets Google API, 250 000 secrets Google Cloud et 140 000 secrets AWS ont été détectés.

Quelques autres indicateurs repérés dans cette étude, et non des moindres.

Si le secteur de l’IT est le plus touché (65,9 % des fuites détectées), les secteurs de l’éducation, la science et la technologie, la vente au détail, l’industrie manufacturière, et la finance et l’assurance sont touchés (respectivement 20,1 %, 7 %, 1,5 %, 1,2 % et 1 % des fuites).

Lors de la découverte d’un secret valide exposé, 90 % restent actifs pendant au moins cinq jours, même après que l’auteur en ait été informé

Autre point, les zombie leaks ou fuites zombie. « On trouve un secret, on envoie une alerte, les développeurs vont effacer le secret sans le désactiver, le problème n’est donc pas corrigé dans le fond. Sur les alertes envoyées, 55% des secrets sont supprimés du code mais en moyenne seulement 10% sont désactivés ». C’est un risque de sécurité majeur pour les entreprises puisque c’est une vraie surface d’attaque.

Software Composition Analysis

L’objectif est de renforcer la posture de sécurité des organisations en luttant, tout au long du cycle de développement logiciel, contre les vulnérabilités dans les dépendances de code.

Cette offre SCA améliore la qualité du code source en automatisant la détection de vulnérabilités dans les dépendances de code, leur hiérarchisation et leur remédiation. Les entreprises peuvent s’assurer du respect de la politique interne sur les licences logicielles, et de la conformité aux réglementations liées au développement.

Les développeurs font souvent confiance aux projets open source, validés par la communauté, sans évaluer la sécurité de manière approfondie. Or, avec les changements dans les réglementations gouvernementales en Europe et aux US, les développeurs doivent être transparents sur l’usage de dépendances et des licences associées. « Une application possède en moyenne plus de 500 dépendances directes et transitives. Il est donc crucial de mettre en place une stratégie proactive. Il faut adopter l’approche shift left et surveiller l’intégralité de sa supply chain logicielle. SCA permet de prioriser automatiquement les vulnérabilités en fonction du contexte et donne un ensemble de conseils pratiques pour y remédier. Sans les bons outils, votre équipe se concentrera sur la résolution de problèmes mineurs sans s’occuper des incidents les plus critiques ».

Si les initiatives de sécurité se portent sur la détection des fuites, l’amélioration de la posture de sécurité reste essentielle en apportant conseil et soutien aux développeurs et entreprises. Les vrais enjeux restent « l’éducation et la prévention, la détection et la remédiation ».