Discussion :

[Stan Adkens]

GitHub est une véritable mine d’or pour les cybercriminels, selon GitGuardian,
Qui a détecté plus de 2 millions de "secrets" sur la plateforme en 2020, en hausse de 20 %

Plus de deux millions de secrets ont été détectés sur GitHub en 2020, soit une augmentation de 20 % par rapport à l’année précédente, selon un nouveau rapport. Il s’avère que 85 % de ces secrets se trouvent dans les dépôts personnels des développeurs, hors du contrôle des entreprises. Le rapport de GitGuardian montre que 15 % des fuites sur GitHub se produisent dans des dépôts publics appartenant à des organisations et 85 % des fuites se produisent dans les dépôts personnels des développeurs. Les données sensibles, ou secrets, qui finissent par être exposés publiquement sur GitHub sont, entre autres, les clés API, les clés privées, les certificats, les noms d'utilisateur et les mots de passe.

Fondée à Paris en 2017, GitGuardian sert à « empêcher les pirates d'utiliser GitHub comme une porte dérobée pour votre entreprise », comme le dit l'entreprise, en analysant les dépôts publics GitHub en temps réel pour identifier toutes les données privées que les mauvais acteurs pourraient utiliser pour accéder à leurs systèmes (par exemple dans le cloud ou une base de données), comme les clés API ou cryptographiques, les identifiants de connexion, et plus encore.

Le rapport baptisé "State of Secrets Sprawl on GitHub" de GitGuardian est basé sur la surveillance constante de chaque commit poussé vers un dépôt public GitHub. La comparaison des données de l'année dernière avec la période correspondante de 2019 a montré que le nombre de secrets détectés sur GitHub avait augmenté d'un cinquième. Le "secrets sprawl" auquel le rapport de GitGuardian fait référence est essentiellement des informations d'authentification stockées dans beaucoup d'endroits différents, ce qui les rend difficiles à suivre.

Le rapport 2021 de GitGuardian montre que 85 % des 2 millions de secrets qu'il a trouvés se trouvaient dans les dépôts personnels des développeurs, qui échappent au contrôle des entreprises. « Ce qui est surprenant, c'est qu'un nombre inquiétant de ces secrets divulgués sur les dépôts publics personnels des développeurs sont des secrets d'entreprise, et non des secrets personnels », Jeremy Thomas, PDG de GitGuardian.

Cela signifie que les systèmes internes d'une entreprise pourraient être vulnérables en raison des données sensibles cachées dans les dépôts des développeurs actuels ou anciens. Mais cela montre également comment le problème peut avoir un impact sur les entreprises, qu'elles travaillent ou non sur des projets open source, car elles ont peu de visibilité ou de contrôle sur la façon dont leurs développeurs utilisent GitHub.

« Les organisations ne peuvent pas contrôler ce que les développeurs font avec leurs projets GitHub personnels », a expliqué Thomas. « GitHub est une plateforme fantastique pour les développeurs, qui leur permet de collaborer ensemble, d'acquérir de nouvelles compétences et de présenter leur travail. Les développeurs ont généralement un compte GitHub qu'ils utilisent à la fois à des fins personnelles et professionnelles, mélangeant parfois les dépôts. Les développeurs utilisent GitHub comme leur LinkedIn – c'est pourquoi ils ont besoin d'un compte qui leur est vraiment lié et qui contient leur travail », a-t-il ajouté.

Selon le PDG de GitGuardian, l'augmentation de l'utilisation de GitHub et l'évolution vers des architectures cloud sont à l’origine de la croissance des "secrets" sur la plateforme. 15 % des fuites sur GitHub se produisent dans des dépôts publics appartenant à des organisations et 85 % des fuites se produisent dans les dépôts personnels des développeurs, selon le rapport.

« Nous pensons que la croissance est due à deux facteurs – l'augmentation de l'utilisation de GitHub et l'évolution vers des architectures cloud et la componentialisation », a déclaré Thomas. « Ces deux tendances génèrent davantage d'identifiants d'authentification numérique ».

Voici, ci-dessous, les types de secrets trouvés par l’outil de détection de GitGuardian

• 27,6 % clés Google,
• 15,9 % outils de développement (Django, RapidAPI, Okta),
• 15,4 % stockage de données (MySQL, Mongo, Postgres,...),
• 12 % autres (y compris CRM, Cryptos, fournisseurs d’identité, systèmes de paiement, surveillance),
• 11,1 % systèmes de messagerie (Discord, Sendgrid, Mailgun, Slack, Telegram, Twilio...),
• 8,4 % fournisseur de services dans le cloud (AWS, Azure, Google, Tencent, Alibaba...),
• 6,7 % clés privées,
• 1,9 % réseaux sociaux,
• 0,8 % plateforme de contrôle de version (GitHub, GitLab),
• 0,4 % outils de collaboration (Asana, Atlassian, Jira, Trello, Zendesk...).

Voici, ci-dessous, le top 10 des extensions de fichiers

Avec les nombreux langages de programmation, frameworks et pratiques de codage adoptés dans le monde entier, il existe une très longue liste d’extensions qui peuvent contenir des secrets. Les 10 premières extensions de fichiers représentent 81 % de tous les résultats. Les trois premiers représentent plus de 56 % des résultats.

• 27,7 % Python
• 18,7% JavaScript
• 9,6 % Environment variables file
• 7,5 % JSON
• 4 % Properties
• 3,6 % PEM
• 3,2 % PHP
• 2,7 % YAML
• 2,2 % XML
• 2 % Typescript

GitHub est plus que jamais "The Place to Be" pour les développeurs lorsqu'il s'agit d'innover, de collaborer et de se mettre en réseau. GitHub rassemble plus de 50 millions de développeurs travaillant sur leurs projets personnels et/ou professionnels. Lorsque 60 millions de dépôts sont créés en un an et que près de deux milliards de contributions sont ajoutées, certains risques se présentent pour les entreprises.

À mesure que les architectures se déplacent vers le cloud et s'appuient davantage sur des composants et des applications, la croissance des commits qui se produisent et l'utilisation d'identifiants d'authentification numérique ont augmenté le nombre de secrets détectés. Pour aggraver le problème, les entreprises poussent à des cycles de publication plus courts, les développeurs doivent maîtriser de nombreuses technologies et la complexité de l'application des bonnes pratiques de sécurité augmente avec la taille de l'organisation, le nombre de dépôts, le nombre d'équipes de développeurs et leur répartition géographique.

Les entreprises ne peuvent pas éviter le risque d'exposition aux secrets, même si elles mettent en place des systèmes centralisés de gestion des secrets. Pour cela, certaines bonnes pratiques peuvent être suivies pour limiter le risque d'exposition des secrets ou l'impact d'une fuite d'informations d'identification.

Les suggestions de bonnes pratiques de GitGuardian pour éviter de tels scénarios comprennent la restriction de l'accès aux API et des permissions, l'encouragement des développeurs à ne pas partager de secrets non chiffrés dans des systèmes de messagerie tels que Slack, et le fait de ne jamais stocker de secrets non chiffrés dans des dépôts .git.

Source : GitGuardian

Et vous ?

Que pensez-vous de ce rapport ?
85 % des 2 millions de secrets détectés se trouvaient dans les dépôts personnels des développeurs. Quel commentaire en faites-vous ?
Vous est-il déjà arrivé de stocker des données sensibles sur votre dépôt GitHub personnel ?

Voir aussi :

Google dévoile une faille de sécurité « grave » concernant la plateforme GitHub de Microsoft, aucun correctif n'est disponible pour le moment et les utilisateurs sont invités à faire des mises à jour
Des critiques s'élèvent contre la suppression du code d'exploit des vulnérabilités d'Exchange par GitHub de Micrososft, pour certains les avantages de publier ce code "l'emportent sur les risques"
Des cybercriminels ont piraté les serveurs de GitHub pour le minage de cryptomonnaies, l'exploit pourrait faire tourner jusqu'à 100 mineurs de cryptomonnaies au cours d'une seule attaque
Compromission du code PHP : les responsables de PHP blâment désormais une fuite de la base de données utilisateurs master.php.net, plutôt qu'un problème avec le serveur lui-même

[marsupial]

Github, le nouveau super post-it
Mieux que le fichier Excel, directement dispo sur la toile, à visiter par tous les pirates.
Quand je pense qu'il y en a qui s'em***dent à trouver des failles, les clés pour entrer sont sous le pot de fleur.

Je ne me casse plus le cul à chercher à sécuriser...

[Hiroki]

• Vous est-il déjà arrivé de stocker des données sensibles sur votre dépôt GitHub personnel ?

Oui, en oubliant d'inclure les fichiers dans le .gitignore.....

Cela étant, gitguardian m'a vite averti de l'erreur et ça a été corrigé assez rapidement.

[TotoParis]

"Les développeurs ont généralement un compte GitHub qu'ils utilisent à la fois à des fins personnelles et professionnelles, mélangeant parfois les dépôts. Les développeurs utilisent GitHub comme leur LinkedIn – c'est pourquoi ils ont besoin d'un compte qui leur est vraiment lié et qui contient leur travail », a-t-il ajouté".

Donc les entreprises ne contrôlent finalement pas grand chose, voire rien du tout de ce que font ces développeurs ? Ils sont en roue libre dans leur entreprise ?
C'est un peu comme utiliser sont mail privé pour son activité professionnel, non ?
Comment on peut être aussi négligent ???

[tanaka59]

Bonjour,

Que pensez-vous de ce rapport ?

A l'heure du toujours plus vite , on en perd les élèments rudimentaires en terme de sécurité, lors du partage d'un contenu.

85 % des 2 millions de secrets détectés se trouvaient dans les dépôts personnels des développeurs. Quel commentaire en faites-vous ?

1) C'est très inquiétant
2) Dans un monde ou l'on a de moins en moins de vie privée, quid de la vie pro ? On fait certes un travail , on a certes un profil linkedin . A un moment c'est se poser la question, "est ce qu'on accepte un flicage de savoir pourquoi et comment on travail ?" .

En gros accepte t on de se faire pinaillé pour une virgule ou un point virgule ??

Entre partager de la connaissance , de la "logique de reflexion" et partager en mode bourrin , certains ne font pas la différence et sont négligeant

Vous est-il déjà arrivé de stocker des données sensibles sur votre dépôt GitHub personnel ?

Oui par contre , ce n'était pas github. Maintenant au moindre bout de code qui va sur internet , j'anonymise .

On peut exposer un problème , en prenant soin de ne pas divulguer n'importe quoi . Pour ne pas exposer des secrets pro ou des infos perso ...