En 2023, GitHub a été le théâtre d’une fuite considérable d’informations sensibles, impliquant la divulgation accidentelle de 12,8 millions de secrets numériques répartis dans plus de 3 millions de dépôts publics.
Selon une récente étude de GitGuardian, une entité spécialisée dans la sécurisation du développement logiciel via la détection automatique de secrets, cette situation expose gravement la sécurité informatique.
Ces secrets, englobant des mots de passe, des clés API, des certificats TLS/SSL, des clés de chiffrement, des identifiants de services cloud et des tokens OAuth, constituent la pierre angulaire de la sécurité numérique des entreprises. Leur exposition peut ouvrir la porte à des violations de données, des accès non autorisés aux ressources privées et à divers autres incidents de sécurité.
L’origine de ces fuites est principalement attribuée à des oublis des développeurs, qui, dans la précipitation du développement, intègrent ces secrets dans le code source avant de le publier sur GitHub, négligeant de les retirer. Ce manquement expose involontairement des informations critiques aux acteurs malveillants.
L’étude révèle que l’Inde est en tête des pays d’où proviennent la majorité de ces fuites, suivie par les États-Unis, le Brésil, la Chine, la France et le Canada. L’industrie informatique est la plus touchée, représentant 65,9 % des fuites, suivie par le secteur éducatif (20,1 %), le reste se répartissant entre divers domaines comme la science, le commerce, la fabrication, la finance, l’administration publique, la santé, le divertissement et les transports.
Une réactivité préoccupante
La réactivité face à ces fuites est préoccupante : seulement 2,6 % des secrets sont révoqués dans l’heure suivant leur découverte, et un pourcentage alarmant (91,6 %) reste valide même cinq jours après, période après laquelle GitGuardian cesse le suivi. Malgré l’envoi de 1,8 million d’emails alertant les développeurs et les entreprises concernées, seul un faible 1,8 % a pris des mesures pour retirer les secrets du code.
Des entreprises comme Riot Games, GitHub, OpenAI et AWS se distinguent par leurs mécanismes de réponse efficaces, démontrant qu’une gestion proactive de la sécurité est possible et cruciale.
Ce constat alarmant met en lumière la nécessité d’une prise de conscience accrue et d’une action rapide de la part des développeurs pour protéger les écosystèmes numériques contre les risques de sécurité croissants.
