GitHub a détecté 39 millions de secrets en 2024 et va encore améliorer ses outils de détection
En 2024, GitHub a détecté plus de 39 millions de secrets exposés dans des dépôts publics, dont des clés API et des identifiants sensibles. Face à cette menace, la plateforme annonce des améliorations pour aller plus loin dans la détection. Faisons le point.
Une fuite massive de secrets malgré les protections existantes
Selon un nouveau rapport publié par GitHub, pas moins de 39 millions de secrets ont été repérés par son service de scan des secrets. Ces détections sont essentielles pour prévenir les fuites de données et la compromission de certains services. En effet, cette fonctionnalité permet d'identifier les clés API, mots de passe et autres données sensibles accidentellement partagées dans des dépôts de code. GitHub affirme agir chaque minute pour empêcher la fuite de nouveaux secrets.
"Les fuites de secrets restent l'une des causes les plus fréquentes - et les plus évitables - d'incidents de sécurité.", peut-on lire sur le site de GitHub. Le constat de GitHub laisse entendre que l'utilisation de l'intelligence artificielle accentue les risques : "Alors que nous développons du code plus rapidement que jamais, nous divulguons également des secrets plus rapidement que jamais."
La fonctionnalité "Push Protection" est activée par défaut sur tous les dépôts publics depuis février 2024. Pour autant, les fuites persistent. La raison principale ? Les développeurs priorisent souvent le côté pratique, au détriment de la sécurité, et certaines expositions accidentelles proviennent de l'historique des dépôts Git.
Des changements pour le service GitHub Advanced Security
Au-delà de ces quelques statistiques, GitHub a annoncé plusieurs améliorations et changements pour son service Advanced Security. L'un des objectifs étant de rendre ce service accessible, d'un point de vue financier, à un plus grand nombre d'entreprises. "Dès aujourd'hui, nos produits de sécurité sont disponibles à l'achat en tant que produits autonomes pour les entreprises, ce qui permet aux équipes de développement de faire évoluer la sécurité rapidement.", peut-on lire.
Pour rappel, GitHub Advanced Security est un service payant, destiné à protéger les dépôts de code privé, autres que les dépôts publics accessibles via GitHub.com.
Ci-dessous, un récapitulatif des changements opérés par GitHub :
- Secret Protection et Code Security deviennent des produits distincts : ces outils sont désormais disponibles séparément, sans nécessiter une licence complète de GitHub Advanced Security, les rendant plus accessibles aux petites équipes.
- Audit gratuit des risques liés aux secrets : un scan ponctuel analyse tous les dépôts (publics, privés, internes et archivés) pour détecter des secrets exposés, gratuit pour toutes les organisations GitHub.
- Protection des commits : Amélioration de la protection des pushs dans un dépôt, permettant aux organisations de définir qui peut contourner cette restriction (système de politique).
- Détection des secrets améliorée grâce à Copilot : utilisation de l’IA pour identifier les secrets comme les mots de passe, dans le but d'améliorer la précision de la détection, et ainsi réduire les faux positifs.
- Meilleure détection grâce aux partenariats Cloud : GitHub évoque une collaboration avec AWS, Google Cloud et OpenAI pour améliorer l’identification des secrets et accélérer la réponse aux fuites.
Dans le meilleur des mondes, les développeurs devraient utiliser des gestionnaires de secrets et ne jamais intégrer d'informations confidentielles dans leur code. GitHub suggère l'intégration d'outils de gestion des secrets dans les pipelines CI/CD pour limiter l'intervention humaine et réduire les erreurs potentielles.
