IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    1 412
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 1 412
    Points : 31 888
    Points
    31 888
    Par défaut GitHub est une véritable mine d’or pour les cybercriminels, selon GitGuardian
    GitHub est une véritable mine d’or pour les cybercriminels, selon GitGuardian,
    Qui a détecté plus de 2 millions de "secrets" sur la plateforme en 2020, en hausse de 20 %

    Plus de deux millions de secrets ont été détectés sur GitHub en 2020, soit une augmentation de 20 % par rapport à l’année précédente, selon un nouveau rapport. Il s’avère que 85 % de ces secrets se trouvent dans les dépôts personnels des développeurs, hors du contrôle des entreprises. Le rapport de GitGuardian montre que 15 % des fuites sur GitHub se produisent dans des dépôts publics appartenant à des organisations et 85 % des fuites se produisent dans les dépôts personnels des développeurs. Les données sensibles, ou secrets, qui finissent par être exposés publiquement sur GitHub sont, entre autres, les clés API, les clés privées, les certificats, les noms d'utilisateur et les mots de passe.

    Fondée à Paris en 2017, GitGuardian sert à « empêcher les pirates d'utiliser GitHub comme une porte dérobée pour votre entreprise », comme le dit l'entreprise, en analysant les dépôts publics GitHub en temps réel pour identifier toutes les données privées que les mauvais acteurs pourraient utiliser pour accéder à leurs systèmes (par exemple dans le cloud ou une base de données), comme les clés API ou cryptographiques, les identifiants de connexion, et plus encore.

    Nom : g01.png
Affichages : 14689
Taille : 14,5 Ko

    Le rapport baptisé "State of Secrets Sprawl on GitHub" de GitGuardian est basé sur la surveillance constante de chaque commit poussé vers un dépôt public GitHub. La comparaison des données de l'année dernière avec la période correspondante de 2019 a montré que le nombre de secrets détectés sur GitHub avait augmenté d'un cinquième. Le "secrets sprawl" auquel le rapport de GitGuardian fait référence est essentiellement des informations d'authentification stockées dans beaucoup d'endroits différents, ce qui les rend difficiles à suivre.

    Le rapport 2021 de GitGuardian montre que 85 % des 2 millions de secrets qu'il a trouvés se trouvaient dans les dépôts personnels des développeurs, qui échappent au contrôle des entreprises. « Ce qui est surprenant, c'est qu'un nombre inquiétant de ces secrets divulgués sur les dépôts publics personnels des développeurs sont des secrets d'entreprise, et non des secrets personnels », Jeremy Thomas, PDG de GitGuardian.

    Cela signifie que les systèmes internes d'une entreprise pourraient être vulnérables en raison des données sensibles cachées dans les dépôts des développeurs actuels ou anciens. Mais cela montre également comment le problème peut avoir un impact sur les entreprises, qu'elles travaillent ou non sur des projets open source, car elles ont peu de visibilité ou de contrôle sur la façon dont leurs développeurs utilisent GitHub.

    « Les organisations ne peuvent pas contrôler ce que les développeurs font avec leurs projets GitHub personnels », a expliqué Thomas. « GitHub est une plateforme fantastique pour les développeurs, qui leur permet de collaborer ensemble, d'acquérir de nouvelles compétences et de présenter leur travail. Les développeurs ont généralement un compte GitHub qu'ils utilisent à la fois à des fins personnelles et professionnelles, mélangeant parfois les dépôts. Les développeurs utilisent GitHub comme leur LinkedIn – c'est pourquoi ils ont besoin d'un compte qui leur est vraiment lié et qui contient leur travail », a-t-il ajouté.

    Nom : g02.png
Affichages : 2967
Taille : 22,5 Ko

    Selon le PDG de GitGuardian, l'augmentation de l'utilisation de GitHub et l'évolution vers des architectures cloud sont à l’origine de la croissance des "secrets" sur la plateforme. 15 % des fuites sur GitHub se produisent dans des dépôts publics appartenant à des organisations et 85 % des fuites se produisent dans les dépôts personnels des développeurs, selon le rapport.

    « Nous pensons que la croissance est due à deux facteurs – l'augmentation de l'utilisation de GitHub et l'évolution vers des architectures cloud et la componentialisation », a déclaré Thomas. « Ces deux tendances génèrent davantage d'identifiants d'authentification numérique ».

    Voici, ci-dessous, les types de secrets trouvés par l’outil de détection de GitGuardian

    • 27,6 % clés Google,
    • 15,9 % outils de développement (Django, RapidAPI, Okta),
    • 15,4 % stockage de données (MySQL, Mongo, Postgres,...),
    • 12 % autres (y compris CRM, Cryptos, fournisseurs d’identité, systèmes de paiement, surveillance),
    • 11,1 % systèmes de messagerie (Discord, Sendgrid, Mailgun, Slack, Telegram, Twilio...),
    • 8,4 % fournisseur de services dans le cloud (AWS, Azure, Google, Tencent, Alibaba...),
    • 6,7 % clés privées,
    • 1,9 % réseaux sociaux,
    • 0,8 % plateforme de contrôle de version (GitHub, GitLab),
    • 0,4 % outils de collaboration (Asana, Atlassian, Jira, Trello, Zendesk...).

    Nom : g03.png
Affichages : 2962
Taille : 43,6 Ko

    Voici, ci-dessous, le top 10 des extensions de fichiers

    Avec les nombreux langages de programmation, frameworks et pratiques de codage adoptés dans le monde entier, il existe une très longue liste d’extensions qui peuvent contenir des secrets. Les 10 premières extensions de fichiers représentent 81 % de tous les résultats. Les trois premiers représentent plus de 56 % des résultats.

    • 27,7 % Python
    • 18,7% JavaScript
    • 9,6 % Environment variables file
    • 7,5 % JSON
    • 4 % Properties
    • 3,6 % PEM
    • 3,2 % PHP
    • 2,7 % YAML
    • 2,2 % XML
    • 2 % Typescript

    GitHub est plus que jamais "The Place to Be" pour les développeurs lorsqu'il s'agit d'innover, de collaborer et de se mettre en réseau. GitHub rassemble plus de 50 millions de développeurs travaillant sur leurs projets personnels et/ou professionnels. Lorsque 60 millions de dépôts sont créés en un an et que près de deux milliards de contributions sont ajoutées, certains risques se présentent pour les entreprises.

    À mesure que les architectures se déplacent vers le cloud et s'appuient davantage sur des composants et des applications, la croissance des commits qui se produisent et l'utilisation d'identifiants d'authentification numérique ont augmenté le nombre de secrets détectés. Pour aggraver le problème, les entreprises poussent à des cycles de publication plus courts, les développeurs doivent maîtriser de nombreuses technologies et la complexité de l'application des bonnes pratiques de sécurité augmente avec la taille de l'organisation, le nombre de dépôts, le nombre d'équipes de développeurs et leur répartition géographique.

    Les entreprises ne peuvent pas éviter le risque d'exposition aux secrets, même si elles mettent en place des systèmes centralisés de gestion des secrets. Pour cela, certaines bonnes pratiques peuvent être suivies pour limiter le risque d'exposition des secrets ou l'impact d'une fuite d'informations d'identification.

    Les suggestions de bonnes pratiques de GitGuardian pour éviter de tels scénarios comprennent la restriction de l'accès aux API et des permissions, l'encouragement des développeurs à ne pas partager de secrets non chiffrés dans des systèmes de messagerie tels que Slack, et le fait de ne jamais stocker de secrets non chiffrés dans des dépôts .git.

    Source : GitGuardian

    Et vous ?

    Que pensez-vous de ce rapport ?
    85 % des 2 millions de secrets détectés se trouvaient dans les dépôts personnels des développeurs. Quel commentaire en faites-vous ?
    Vous est-il déjà arrivé de stocker des données sensibles sur votre dépôt GitHub personnel ?

    Voir aussi :

    Google dévoile une faille de sécurité « grave » concernant la plateforme GitHub de Microsoft, aucun correctif n'est disponible pour le moment et les utilisateurs sont invités à faire des mises à jour
    Des critiques s'élèvent contre la suppression du code d'exploit des vulnérabilités d'Exchange par GitHub de Micrososft, pour certains les avantages de publier ce code "l'emportent sur les risques"
    Des cybercriminels ont piraté les serveurs de GitHub pour le minage de cryptomonnaies, l'exploit pourrait faire tourner jusqu'à 100 mineurs de cryptomonnaies au cours d'une seule attaque
    Compromission du code PHP : les responsables de PHP blâment désormais une fuite de la base de données utilisateurs master.php.net, plutôt qu'un problème avec le serveur lui-même
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 208
    Points : 4 655
    Points
    4 655
    Par défaut
    Github, le nouveau super post-it
    Mieux que le fichier Excel, directement dispo sur la toile, à visiter par tous les pirates.
    Quand je pense qu'il y en a qui s'em***dent à trouver des failles, les clés pour entrer sont sous le pot de fleur.

    Je ne me casse plus le cul à chercher à sécuriser...
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Candidat au Club Avatar de Hiroki
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2021
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 23
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Finance

    Informations forums :
    Inscription : avril 2021
    Messages : 1
    Points : 2
    Points
    2
    Par défaut
    • Vous est-il déjà arrivé de stocker des données sensibles sur votre dépôt GitHub personnel ?


    Oui, en oubliant d'inclure les fichiers dans le .gitignore.....

    Cela étant, gitguardian m'a vite averti de l'erreur et ça a été corrigé assez rapidement.

  4. #4
    Membre averti
    Homme Profil pro
    salarié
    Inscrit en
    septembre 2014
    Messages
    137
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : salarié

    Informations forums :
    Inscription : septembre 2014
    Messages : 137
    Points : 343
    Points
    343
    Par défaut
    "Les développeurs ont généralement un compte GitHub qu'ils utilisent à la fois à des fins personnelles et professionnelles, mélangeant parfois les dépôts. Les développeurs utilisent GitHub comme leur LinkedIn – c'est pourquoi ils ont besoin d'un compte qui leur est vraiment lié et qui contient leur travail », a-t-il ajouté".

    Donc les entreprises ne contrôlent finalement pas grand chose, voire rien du tout de ce que font ces développeurs ? Ils sont en roue libre dans leur entreprise ?
    C'est un peu comme utiliser sont mail privé pour son activité professionnel, non ?
    Comment on peut être aussi négligent ???

  5. #5
    Membre expert

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    2 767
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 767
    Points : 3 932
    Points
    3 932
    Par défaut
    Bonjour,

    Que pensez-vous de ce rapport ?
    A l'heure du toujours plus vite , on en perd les élèments rudimentaires en terme de sécurité, lors du partage d'un contenu.

    85 % des 2 millions de secrets détectés se trouvaient dans les dépôts personnels des développeurs. Quel commentaire en faites-vous ?
    1) C'est très inquiétant
    2) Dans un monde ou l'on a de moins en moins de vie privée, quid de la vie pro ? On fait certes un travail , on a certes un profil linkedin . A un moment c'est se poser la question, "est ce qu'on accepte un flicage de savoir pourquoi et comment on travail ?" .

    En gros accepte t on de se faire pinaillé pour une virgule ou un point virgule ??

    Entre partager de la connaissance , de la "logique de reflexion" et partager en mode bourrin , certains ne font pas la différence et sont négligeant

    Vous est-il déjà arrivé de stocker des données sensibles sur votre dépôt GitHub personnel ?
    Oui par contre , ce n'était pas github. Maintenant au moindre bout de code qui va sur internet , j'anonymise .

    On peut exposer un problème , en prenant soin de ne pas divulguer n'importe quoi . Pour ne pas exposer des secrets pro ou des infos perso ...

Discussions similaires

  1. Réponses: 9
    Dernier message: 06/10/2018, 22h37
  2. Vos SMS, une mine d’or pour la NSA
    Par Arsene Newman dans le forum Actualités
    Réponses: 0
    Dernier message: 17/01/2014, 14h02
  3. Réponses: 4
    Dernier message: 16/01/2007, 15h27
  4. Réponses: 7
    Dernier message: 04/06/2006, 12h24
  5. Quel est l'équivalent de Findcomponent pour les Forms ?
    Par Ben_Le_Cool dans le forum Composants VCL
    Réponses: 12
    Dernier message: 23/09/2005, 12h48

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo