‍

Depuis 2017, GitGuardian détecte automatiquement les fuites de secrets dans les commits publics sur GitHub et avertit les développeurs concernés par e-mail. Bien que cette approche soit efficace, elle présente des limites. Pour y remédier, nous identifions également les entreprises affectées et les contactons via des pratiques de Responsible Disclosure, afin de les accompagner dans la correction des failles.

Les enjeux de la détection de secrets en source ouverte sont particulièrement critiques sur des plateformes comme GitHub et DockerHub. Face aux volumes massifs de données, les techniques traditionnelles, telles que la recherche d’entropie et le pattern matching, doivent être enrichies par une validation active et une analyse approfondie du contexte d’utilisation des secrets. Cette démarche permet de différencier les secrets réellement actifs et d’évaluer leur impact potentiel, notamment lorsqu’ils proviennent de projets personnels de développeurs d’entreprise.

Les secrets les plus sensibles concernent souvent des infrastructures clés comme des dépôts de code, des bases de données ou des hébergeurs cloud. Leur exploitation rapide représente un risque majeur pour la sécurité. Au cours de six mois d’échanges avec des entreprises, nous avons observé des comportements variés, allant de corrections quasi immédiates à des absences totales de réponse, laissant certains secrets critiques toujours actifs.

Notre présentation vise à sensibiliser les participants de l’OSSIR à l’importance de la gestion proactive des secrets dans un monde dominé par le cloud, où les pratiques d’authentification et de sécurité doivent être renforcées.

‍